域管理员帐户策略(在PCI审核之后)

14

我们的客户之一是Tier 1 PCI公司,他们的审计师就我们作为系统管理员和我们的访问权提出了建议。

我们管理它们的大约700个台式机/ 80个服务器/ 10域控制器的完全基于Windows的基础结构。

他们建议我们改用拥有三个单独帐户的系统:

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC
  • WS是帐户上只有工作站日志,是在工作站上的本地管理员
  • 其中SRV是帐户上只有非DC服务器日志,是在服务器上的本地管理员
  • DC是帐户上唯一的域控制器,有效的域管理员帐户登录

然后制定适当的策略来防止从错误的帐户登录到错误的系统类型(包括删除非DC计算机上域管理员帐户的交互式登录)

这是为了防止受感染的工作站可以暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。

这似乎不仅对我们的日常运营而言是一项非常侵入性的政策,而且对于解决相对不太可能的攻击/利用(这仍然是我的理解,也许我误解了此利用的可行性)的工作量很大, 。

我很想听听其他管理员的意见,尤其是那些曾经在PCI注册公司中工作过的人,并且您也遇到类似的建议。您对管理员登录有什么政策。

作为记录,我们目前拥有一个通常使用的域用户帐户,以及一个在我们需要其他权限时也会提升的域管理员帐户。坦率地说,我们都比较懒惰,尽管在技术上违反我们公司的政策(尽管我肯定您理解!),但通常只使用Domain Admin帐户进行日常操作。

domain-controller  user-accounts  pci-dss 
帕特里克
source
4
作为第1层,我实际上很惊讶他们的负责CC支付的网络与该Windows基础结构所在的网络位于同一网络上,而不是单独进行分段。使合规性变得容易得多。
TheCleaner
那是有道理的,但不幸的是没有。他们不是该域用户的一部分,因此我们的管理员帐户无法管理这些系统。我们(技术上)无法访问处理付款的机器。
Patrick
我不是这里的PCI专家...虽然有一些我见过。但是,我不记得有这样的要求。建议与要求之间存在很大差异。我会更加努力地执行您在最后一段中所说的话,并采取措施以确保它成为现实。
TheCleaner
听起来像是与serverfault.com/questions/224467/…类似的经历-本质上,这是一个好的计划,可以防止某些讨厌的攻击。
伊恩·哈兰

Answers:

18

我在一级PCI供应商处。我们有类似的地方,有一些区别。

审核员实际上是在试图描述一个非常现实的问题,但是在解释影响和需求分析方面做得非常差。

现在,通过使用密码或现有令牌的散列来破坏系统更为有效。简而言之,您的攻击者不再需要您的用户名和密码。现在有更简单的方法来攻击系统。 在任何情况下,您都不应假设或得出结论认为这种攻击是不可能的。哈希攻击现在已成为事实上的攻击媒介

具有讽刺意味的是,使用智能卡帐户进行哈希攻击实际上更糟,这具有讽刺意味,因为大多数人期望实施智能卡会提高系统的安全性。

如果某个帐户由于“哈希传递”攻击而受损,通常的响应是更改该帐户的密码。这将更改用于身份验证的哈希。此外,由于攻击者的哈希值将开始失败,因此正常的密码过期/更改可能会导致入侵。但是,对于智能卡,密码是“系统管理的”(用户从不输入密码进行身份验证),因此哈希值永远不会改变。这意味着与使用密码的帐户相比,使用智能卡帐户进行入侵的时间可能更长。

以下是我考虑采取的缓解措施:

  • 对于许多大型公司用于高度特权帐户的启用了智能卡的帐户,请经常更改该帐户的密码。这将更改哈希。您还可以通过以下方式更改哈希值:取消启用智能卡帐户,然后重新启用智能卡帐户。Microsoft每24小时执行一次此操作,但是您需要评估这可能对您的环境造成的潜在影响,并制定合理的计划,以免造成其他问题。

  • 对于工作站,如果可能的话,我根本不会将域帐户用于管理目的。我们有一个本地帐户,可用于提升UAC类型的操作。满足大多数海拔要求的99.9%。由于缺乏有条理的变更控制以及Java JRE和Flash的存在,工作站往往是热门的攻击手段。

    由于我们拥有管理和执行本地帐户密码的正式机制,并且该密码在每个系统上都是唯一的,并且存在供他人请求密码的安全方法,因此该方法对我们有效。也有可以执行此功能的商业应用程序。

  • 如果您不能为工作站提供本地帐户解决方案,则可以,应使用单独的域帐户对工作站进行管理访问,而该帐户不应用于对服务器的管理访问。另一个选择可能是使用使用LocalSystem执行活动的远程非交互式支持管理工具,以及与Windows分开的身份验证机制。

  • 对于特权最高的帐户(企业管理员,域管理员等),请仅使用跳转服务器。该服务器将受到最严格的安全性,变更控制和审核的约束。对于所有其他类型的管理类型功能,请考虑使用单独的管理帐户。跳转服务器应每天重启,以从LSA进程中清除进程令牌。

  • 不要从工作站执行管理任务。使用强化服务器或跳转服务器。

  • 考虑使用易于重置的虚拟机作为跳转框,可以将其重置以在每次会话后清除内存。

进一步阅读:

https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

Microsoft安全情报报告,第13卷,2012年1月-2012年6月
http://www.microsoft.com/security/sir/archive/default.aspx

阅读本节:“防御哈希传递攻击”。

击败可怕的传递哈希攻击
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

格雷格·阿斯克(Greg Askew)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.