Mengapa Anda harus menonaktifkan login jaringan untuk akun lokal?

Pertanyaan ini mengacu pada utas Twitter @ SwiftOnSecurity: https://twitter.com/SwiftOnSecurity/status/655208224572882944

Setelah membaca utas, saya masih belum mengerti mengapa Anda ingin menonaktifkan login jaringan untuk akun lokal.

Jadi inilah yang saya pikirkan, tolong perbaiki saya di mana saya salah:

Katakanlah saya memiliki pengaturan AD dengan DC dan banyak klien. Salah satu kliennya adalah John. Jadi di pagi hari, John mulai bekerja, dan login ke PC desktop-nya dengan kredensial AD. Pada siang hari, John keluar untuk rapat, dan 'mengunci' komputernya (windows + L). Dia kemudian perlu terhubung ke PC-nya kembali di kantor menggunakan laptop pribadinya dari jarak jauh (melalui RDP atau sesuatu). Namun, dengan menggunakan kebijakan baru ini, ia tidak akan dapat melakukannya.

Penjelasan yang diberikan Securitay adalah bahwa kata sandi tidak diasinkan. Namun, bagaimana penyerang mendapatkan akses dalam kasus ini? Di bagian mana kata sandi tidak diasinkan? Atau apakah situasi yang ada dalam benak saya sama sekali tidak terkait dengan apa yang dia coba katakan? Jika ini masalahnya, apa yang sebenarnya dia katakan?

— Orang itu
sumber

Saya tidak yakin apa masalah yang dijelaskan, tetapi dalam skenario Anda, tidak ada akun yang digunakan adalah akun lokal. Baik?

— Martijn Heemels

Bukan untuk apa-apa, dan tidak ada pelanggaran, tetapi mengapa Anda tidak meminta penulis posting? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— joeqwerty

@joeqwerty penulis sedang sibuk melakukan dan tidak sering membalas.

— tedder42

@joeqwerty Dia sedang dalam tur 1989 sehingga dia cukup sibuk ...

— The Man

Apakah benar-benar perlu untuk menonaktifkan login jaringan untuk akun lokal? Bukankah itu dinonaktifkan oleh Remote UAC secara default?

— chris

Jawaban:

Mengizinkan masuk jaringan untuk akun lokal berbahaya dan praktik keamanan yang buruk. Untuk anggota grup administrator, saya sebenarnya akan menganggapnya sebagai kelalaian. Ini memungkinkan gerakan lateral, dan sulit untuk mendeteksi dan mengaudit karena log masuk akun tidak dicatat secara terpusat (pada pengontrol domain).

Untuk mengurangi ancaman ini, Microsoft sebenarnya menciptakan dua pengidentifikasi keamanan bawaan baru untuk menambah "Tolak akses ke komputer ini dari jaringan" pengguna yang benar:

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— Greg Askew
sumber

Terima kasih telah menjawab. Jadi biarkan saya memahaminya dengan benar:

— The Man

Katakanlah saya memiliki DC (SERVER1) dengan RDP diaktifkan. Di laptop pribadi saya (tidak terhubung ke domain AD), saya memiliki nama pengguna dan kata sandi Administrator yang sama. Jadi ketika saya ingin mengelola SERVER1, saya menghubungkannya melalui RDP dari laptop pribadi saya. Namun, suatu hari, laptop pribadi saya dicuri, dan pencuri itu dapat mengakses laptop saya dengan izin admin. Dari sana, ia kemudian dapat melihat hash kata sandi pengguna lokal, dan menggunakan hash yang sama untuk terhubung ke server. Apakah skenario ini benar?

— The Man

Namun (jika skenario ini benar), ini menimbulkan lebih banyak pertanyaan. Bukankah tidak ada risiko sama sekali jika saya hanya menggunakan kata sandi yang berbeda untuk pengguna yang berbeda? Juga, bagaimana masalah logon jaringan akan diaktifkan dalam kasus ini? Apakah hanya karena penyerang dapat memperoleh akses dan mengkonfigurasinya tanpa memiliki akses fisik?

— The Man

Ya untuk keduanya, tetapi saya ragu seorang auditor akan menerima kata sandi yang berbeda sebagai kontrol kompensasi yang memadai untuk risiko ini. Memiliki akun administrator lokal yang diaktifkan untuk logon jaringan adalah jenis gerakan lateral yang menenggelamkan kapal perang Anda ketika Anda diserang. Akun administrator lokal seharusnya hanya untuk akses lokal dan tidak boleh melalui jaringan.

— Greg Askew

Hanya untuk memperjelas beberapa hal. Ya untuk keduanya, maksud Anda skenario terbaru yang saya sarankan sudah benar, bukan? Juga, seberapa buruk keadaannya jika login jaringan diaktifkan? Saya menanyakan hal ini karena saya masih tidak dapat melihat bagaimana mengaktifkan logon jaringan akan memungkinkan akses penyerang. Juga, jika saya menonaktifkan logon jaringan, apakah memiliki akses fisik satu-satunya cara interfacing / konfigurasi server?

— The Man

Tidak, skenario contoh Anda salah. Jika dia menggunakan kredensial AD untuk masuk, semuanya baik-baik saja. Masalahnya adalah dengan akun lokal, yaitu akun yang dibuat pada, dan hanya ada di, masing-masing komputer. Misalnya,. \ Administrator, tetapi ini berlaku untuk akun apa pun di domain komputer (COMPUTERNAME \ USERNAME). Risiko keamanan ", AIUI, adalah bahwa jika akun lokal (mis. Administrator lokal) berbagi kata sandi yang sama di banyak mesin, dimungkinkan untuk mengekstrak hash kata sandi dari komputer, dan menggunakan kembali hash dalam beberapa kasus untuk (sebagai serangan malware) atau penyerang lainnya) bergerak secara lateral antar komputer.

— Micha
sumber

Terima kasih telah merespons. Namun, dapatkah Anda memberikan contoh skenario tentang bagaimana keamanan dapat dikompromikan?

— The Man

Contoso menggunakan kata sandi admin lokal tetap. Contoso tidak mencegah masuknya jaringan ke akun lokal. Pengguna mendapatkan semacam malware, yang sampai pada titik di mana ia dijalankan dengan hak admin. Itu mengekstrak hash kata sandi. Jika saya tidak salah, ada beberapa cara untuk menggunakan hash untuk otentikasi dalam beberapa keadaan. Atau mungkin hash mudah retak, atau di atas meja pelangi, atau sesuatu. Malware kemudian terhubung ke semua mesin dan menyebar ke mereka. Tidak hanya itu, tetapi sulit untuk mengetahui apa yang terjadi, karena ini tidak dicatat di DC atau di mana pun di pusat, hanya pada PC individu.

— Micha