Jur*_*ajB 14 security active-directory
我们正在为域中的一个帐户遭到入侵做准备——下一步该怎么做?
禁用帐户将是我的第一个答案,但几周前我们在这里有测试人员,他们能够使用几个月前离开的管理员用户的哈希登录。
到目前为止,我们的两个答案是:
你的方法是什么,或者你会推荐什么?
Gre*_*kew 12
他们能够使用几个月前离开的管理员用户的哈希登录。
被盗凭据哈希不适用于被禁用的帐户,除非它位于未连接到网络的计算机上。该过程仍需要请求票证或通过域控制器进行身份验证。如果帐户被禁用,则无法执行此操作。
您需要在前雇员离开时禁用他们的管理帐户。
如果只有一个标准用户帐户被盗用,那么更改一次密码并启用该帐户应该没问题。密码更改后,散列将不起作用。如果帐户被禁用,它也将无法工作。作为一名渗透测试人员,我想知道渗透测试人员是否使用 Kerberos 票证。在某些情况下,如果更改密码,或者如果帐户被禁用甚至删除,这些可以继续工作(请参阅缓解链接)。
如果域管理员帐户已被盗用,那么游戏就结束了。您需要使您的域脱机,并更改每个密码。此外,krbtgt 帐户密码需要更改两次,否则攻击者仍然能够使用他们窃取的信息发出有效的 Kerberos 票证。完成所有这些操作后,您可以将域重新联机。
实施帐户锁定策略,使更改的密码无法被猜到。不要重命名您的帐户。攻击者可以轻松找到登录名。
另一个重点是培训您的用户。他们可能做了一些不明智的事情,这意味着账户被盗了。攻击者甚至可能不知道密码,他们可能只是以该帐户身份运行进程。例如,如果您打开一个恶意软件附件,让攻击者可以访问您的机器,他们将作为您的帐户运行。他们不知道你的密码。他们无法获取您的密码哈希,除非您是管理员。不要让用户在他们的工作站上以本地管理员身份运行。不要让域管理员登录到具有域管理员权限的工作站 - 永远!
更多信息/缓解措施的链接:
https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
| 归档时间: |
|
| 查看次数: |
4645 次 |
| 最近记录: |