Kebijakan akun Administrator Domain (Setelah audit PCI)

14

Salah satu klien kami adalah perusahaan PCI Tier 1, dan auditor mereka telah membuat saran sehubungan dengan kami sebagai Administrator Sistem dan hak akses kami.

Kami mengelola sepenuhnya infrastruktur berbasis Windows mereka dari sekitar 700 Desktop / 80 server / 10 Pengontrol Domain.

Mereka menyarankan agar kami pindah ke sistem di mana kami memiliki tiga akun terpisah:

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC  
  • Di mana WS adalah akun yang masuk hanya ke WorkStations, adalah Administrator Lokal di WorkStations
  • Di mana SRV adalah akun yang masuk hanya ke Server Non DC, adalah Administrator Lokal di Server
  • Di mana DC adalah akun yang logon ke hanya Pengontrol Domain, secara efektif akun administrator domain

Kebijakan kemudian diberlakukan untuk mencegah masuknya sistem yang salah dari akun yang salah (termasuk menghapus log masuk interaktif untuk akun administrator domain pada mesin non DC)

Ini untuk mencegah situasi di mana workstation yang dikompromikan dapat mengekspos token logon Administrator Domain dan menggunakannya kembali terhadap Pengontrol Domain.

Ini tampaknya tidak hanya menjadi kebijakan yang sangat mengganggu untuk operasi kita sehari-hari tetapi juga sejumlah besar pekerjaan, untuk mengatasi apa yang merupakan serangan / eksploitasi yang relatif tidak mungkin (ini adalah pemahaman saya, mungkin saya salah memahami kelayakan dari eksploitasi ini) .

Saya tertarik untuk mendengar pandangan administrator lainnya, terutama mereka di sini yang telah terlibat dalam perusahaan terdaftar PCI dan Anda mengalami dengan rekomendasi serupa. Apa kebijakan Anda mengenai login administrator.

Sebagai catatan, saat ini kami memiliki akun Pengguna Domain yang kami gunakan secara normal, dengan akun Administrator Domain yang kami tingkatkan juga ketika kami membutuhkan hak tambahan. Dalam semua kejujuran kita semua sedikit malas dan sering hanya menggunakan akun Admin Domain untuk operasi sehari-hari, meskipun ini secara teknis bertentangan dengan kebijakan perusahaan kami (saya yakin Anda mengerti!).

Patrick
sumber
4
Menjadi Tier 1, saya benar-benar terkejut bahwa jaringan mereka yang menerima pembayaran CC ada di jaringan yang sama dengan infrastruktur Windows ini dan tidak tersegmentasi dengan sendirinya. Membuat kepatuhan jauh lebih mudah.
TheCleaner
Itu masuk akal bukan, tapi sayangnya tidak. Mereka bukan bagian dari pengguna domain, jadi akun administrator kami tidak dapat mengelola sistem tersebut. Kami (secara teknis) tidak memiliki akses ke pembayaran pemrosesan mesin.
Patrick
Saya bukan ahli PCI di sini ... ada beberapa yang pernah saya lihat. Namun, saya tidak ingat hal seperti ini menjadi persyaratan. Menyarankan vs diperlukan adalah perbedaan besar. Saya akan bekerja lebih keras dalam melakukan apa yang Anda katakan di paragraf terakhir Anda, menerapkan langkah-langkah untuk membantu memastikan itu kenyataan.
TheCleaner
Kedengarannya seperti pengalaman yang mirip dengan serverfault.com/questions/224467/… - pada dasarnya, ini adalah rencana yang bagus, dan dapat mencegah beberapa serangan jahat.
Iain Hallam

Jawaban:

18

Saya berada di vendor PCI Tier 1. Kami memiliki sesuatu seperti ini, dengan beberapa perbedaan.

Auditor sebenarnya berusaha menggambarkan masalah yang sangat nyata, tetapi melakukan pekerjaan yang sangat buruk menjelaskan implikasi dan analisis kebutuhan.

Sekarang lebih efektif untuk mengkompromikan suatu sistem dengan menggunakan hash kata sandi atau token yang ada. Sederhananya, penyerang Anda tidak lagi membutuhkan nama pengguna dan kata sandi Anda. Sekarang ada cara yang lebih mudah untuk menyerang suatu sistem. Dalam situasi apa pun Anda tidak boleh berasumsi atau menyimpulkan bahwa jenis serangan ini tidak mungkin. Serangan hash sekarang menjadi vektor serangan defacto .

Serangan hash sebenarnya lebih buruk dengan akun kartu pintar, yang ironis, karena kebanyakan orang berharap bahwa penerapan kartu pintar akan meningkatkan keamanan sistem.

Jika akun dikompromikan karena serangan pass-the-hash, respons yang biasa adalah mengubah kata sandi akun. Ini mengubah hash yang digunakan untuk otentikasi. Selain itu, kedaluwarsa / perubahan kata sandi normal dapat memunculkan serangan, karena hash penyerang akan mulai gagal. Namun, dengan kartu pintar, kata sandi 'dikelola oleh sistem' (pengguna tidak pernah memasukkan kata sandi untuk diautentikasi), sehingga hash tidak pernah berubah. Itu berarti dengan akun kartu pintar, serangan mungkin tidak diketahui lebih lama daripada dengan akun yang menggunakan kata sandi.

Berikut ini mitigasi yang akan saya pertimbangkan:

  • Untuk akun yang mengaktifkan kartu pintar, yang digunakan banyak perusahaan besar untuk akun yang sangat istimewa, ubah kata sandi akun pada interval yang sering. Ini mengubah hash. Anda juga dapat mengubah hash dengan membatalkan un-smartcard mengaktifkan akun, lalu mengaktifkan kembali smartcard. Microsoft melakukan ini setiap 24 jam, tetapi Anda perlu mengevaluasi dampak potensial yang dapat ditimbulkannya di lingkungan Anda, dan membuat jadwal yang waras sehingga Anda tidak membuat masalah tambahan.

  • Untuk workstation, saya tidak akan menggunakan akun domain untuk keperluan admin sama sekali, jika memungkinkan. Kami memiliki akun lokal yang dapat digunakan untuk meningkatkan operasi tipe UAC. Ini memenuhi 99,9% dari sebagian besar persyaratan ketinggian. Workstation cenderung menjadi vektor serangan panas, karena kurangnya kontrol perubahan yang diatur, dan keberadaan Java JRE dan Flash.

    Pendekatan ini bekerja untuk kami karena kami memiliki mekanisme formal untuk mengelola dan menegakkan kata sandi untuk akun lokal dan bahwa kata sandi itu unik pada setiap sistem, dan bahwa ada metode aman bagi seseorang untuk meminta kata sandi. Ada juga aplikasi komersial yang dapat melakukan fungsi ini.

  • Jika Anda tidak dapat memberikan solusi akun lokal untuk workstation, maka ya, akun domain terpisah harus digunakan untuk akses administratif ke workstation, dan akun itu tidak boleh digunakan untuk akses administratif ke server. Opsi lain mungkin menggunakan alat manajemen dukungan non-interaktif jarak jauh yang menggunakan LocalSystem untuk melakukan kegiatan, dan mekanisme otentikasi yang terpisah dari Windows.

  • Untuk akun istimewa tertinggi (Admin Perusahaan, Admin Domain, dll), gunakan hanya server lompat. Server ini akan tunduk pada keamanan yang paling ketat, perubahan kontrol, dan audit. Untuk semua jenis fungsi tipe administratif lainnya, pertimbangkan untuk memiliki akun administratif terpisah. Server lompat harus dimulai ulang setiap hari untuk me-restart token proses dari proses LSA.

  • Jangan melakukan tugas administratif dari workstation Anda. Gunakan server yang diperkeras atau server lompat.

  • Pertimbangkan untuk menggunakan ulang VM dengan mudah sebagai kotak lompatan Anda, yang dapat diatur ulang untuk menghapus memori setelah setiap sesi.

Bacaan lebih lanjut:

https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

Laporan Intelijen Keamanan Microsoft, Volume 13, Januari - Juni 2012
http://www.microsoft.com/security/sir/archive/default.aspx

Baca bagian: "Membela serangan Pass-the-Hash".

Kekalahan serangan pass-the-hash yang ditakuti
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

Greg Askew
sumber