Apa selanjutnya setelah akun domain Windows dikompromikan?

Kami sedang mempersiapkan skenario ketika salah satu akun di domain dikompromikan — apa yang harus dilakukan selanjutnya?

Menonaktifkan akun akan menjadi jawaban masuk pertama saya, tetapi kami memiliki pentester di sini beberapa minggu yang lalu dan mereka dapat menggunakan login hash dari pengguna admin yang pergi beberapa bulan yang lalu.

Dua jawaban kami sejauh ini adalah:

1. Hapus akun dan buat kembali (buat SID baru tetapi juga lebih banyak drama untuk pengguna dan buat kami)
2. Ubah kata sandi minimal 3 kali dan nonaktifkan akun

Apa yang akan menjadi metode Anda, atau apa yang akan Anda rekomendasikan?

Jika hanya akun pengguna standar yang dikompromikan, maka mengubah kata sandi sekali dan membiarkan akun diaktifkan harus baik-baik saja. Hash tidak akan berfungsi setelah kata sandi diubah. Ini juga tidak akan berfungsi jika akun dinonaktifkan. Sebagai seorang pen-tester sendiri, saya ingin tahu apakah para pen-tester menggunakan tiket Kerberos. Dalam keadaan tertentu ini dapat terus berfungsi jika kata sandi diubah, atau jika akun dinonaktifkan ATAU bahkan dihapus (lihat tautan untuk mitigasi).

Jika akun administrator domain telah disusupi, maka itu benar-benar berakhir. Anda perlu menjadikan domain Anda offline, dan mengubah SETIAP kata sandi. Kata sandi akun krbtgt perlu diubah dua kali, jika tidak, penyerang masih dapat mengeluarkan tiket Kerberos yang valid dengan informasi yang telah mereka curi. Setelah Anda melakukan semua itu, Anda dapat mengembalikan domain Anda ke internet.

Terapkan kebijakan penguncian akun, sehingga kata sandi yang diubah tidak dapat ditebak. Jangan ganti nama akun Anda. Penyerang dapat dengan mudah mengetahui nama login.

Poin penting lainnya adalah melatih pengguna Anda. Mereka mungkin melakukan sesuatu yang tidak bijaksana yang berarti akun itu dikompromikan. Penyerang bahkan mungkin tidak tahu kata sandi, mereka mungkin hanya menjalankan proses sebagai akun itu. Misalnya, jika Anda membuka lampiran malware yang memberikan akses penyerang ke mesin Anda, mereka akan berjalan sebagai akun Anda. Mereka tidak tahu kata sandi Anda. Mereka tidak dapat memperoleh hash kata sandi Anda, kecuali jika Anda seorang administrator. Jangan biarkan pengguna berjalan sebagai admin lokal di workstation mereka. Jangan biarkan admin domain masuk ke workstation dengan hak admin domain - selamanya!

Tautan untuk info / mitigasi lebih lanjut:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Adows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

mereka dapat menggunakan login hash dari pengguna admin yang meninggalkan beberapa bulan yang lalu.

Hash kredensial curian tidak berfungsi untuk akun yang dinonaktifkan, kecuali jika ada di komputer yang tidak terhubung ke jaringan. Proses masih perlu meminta tiket atau mengautentikasi dengan pengontrol domain. Tidak dapat melakukannya jika akun dinonaktifkan.

Anda perlu menonaktifkan akun administratif untuk mantan karyawan ketika mereka pergi.

Dengan asumsi akun pengguna standar, Anda mungkin ingin mempertimbangkan:

1. Ubah kata sandi.
2. Nonaktifkan akun.
3. Ganti nama akun (tersangka nama pengguna) dan buat akun baru untuk pengguna yang terpengaruh.
4. Tambahkan akun yang dicurigai ke grup keamanan "Pengguna yang dinonaktifkan / dikompromikan".

Untuk # 4, sudah ada kebijakan grup yang melakukan hal berikut:

• Tolak akses ke komputer ini dari jaringan: "Dinonaktifkan / dikompromikan pengguna"
• Tolak masuk melalui Layanan Desktop Jarak Jauh: "Dinonaktifkan / dikompromikan pengguna"
• Tolak masuk secara lokal: "Dinonaktifkan / dikompromikan pengguna"

Untuk akun admin domain, seluruh jaringan Anda bersulang.