假设我们保护域中的所有服务器..
这一切都很好,应该被认为是一种安全的配置,以防止域管理员的密码存在于任何成员服务器的内存中。
现在假设攻击者神奇地设法在其中一个成员服务器上获取了域管理员密码,然后在 DC 上通过 PsExec 远程运行 Mimikatz(或任何其他密码提取工具) -游戏结束。
但是,如果我执行
拒绝从网络访问此计算机
在 DC 上并为所有域管理员配置它,会有什么问题吗?
这背后还有一个原因,在任何情况下,域管理员都不应该从另一台服务器向 DC 进行身份验证,除了跳转服务器。
我已经在我的实验室中对此进行了建模,并且没有任何中断,并且由于此配置,使用域管理员密码运行 psexec 失败。这是一场胜利。问题是,它会在真实网络中工作吗?
根据我收集的信息,此限制适用于通过 SMB 进行的任何身份验证尝试。
也许应该移到服务器故障。
ESAE(红色)森林现在是保护 Active Directory 的 goto 建议。 https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access-reference-material
在不了解网络的复杂性的情况下,很难确定,但域管理员不需要网络访问我所知道的域控制器,但如果不进行测试,这可能是一个冒险的举动。话虽如此,您显然需要对这些设备进行物理访问。
更好的解决方案是使用分层模型进行特权访问,其中 DC 是第 0 层,成员服务器或敏感服务器是第 1 层,第 2 层是桌面。不应该有帐户的垂直遍历,因此管理员可能有一个 t0 帐户用于 DC,t1 用于成员服务器,t2 用于桌面管理,t3 用于最终用户使用。这些都不能访问其他层。您可以使用受保护的访问工作站 (PAW) 更进一步(参见上面的链接)。
如果您的 DA 无法访问您的成员服务器,那么成员服务器本身的危害就无法泄露域管理员。他们将不得不继续跳槽或发现流程或工具在层之间泄漏数据的其他缺点。这就是 PAW 的用武之地,您拥有一个带有 IPSec 的物理设备,这是唯一允许连接到 DC 的设备,并且没有其他帐户可以访问该设备。然后,您必须拥有物理访问权限才能破坏 DA,并且由于该 DA 只能在该物理设备上使用,Mimikatz 永远不会看到它在其他任何地方使用。
注意:如果要管理非 Windows 设备,这将变得更加复杂。如果您不是 100% 更新补丁并且不遵循其他基本安全实践(例如不在服务器/DC 上运行 java/adobe、限制对服务器/DC 的 Internet 访问、实施网络分段、等等。
如果您想进一步讨论,请随时与我们联系。