Por que você deve desativar o logon de rede para contas locais?

Esta pergunta está relacionada ao tópico do Twitter do @ SwiftOnSecurity: https://twitter.com/SwiftOnSecurity/status/655208224572882944

Depois de ler o tópico, ainda não entendi por que você deseja desativar o logon de rede para contas locais.

Então, aqui está o que estou pensando, corrija-me onde estou errado:

Digamos que eu tenha um AD configurado com um controlador de domínio e vários clientes. Um dos clientes é John. Então, de manhã, John entra no trabalho e faz login no seu PC com as credenciais do AD. Ao meio-dia, John sai para uma reunião e 'trava' o computador (janelas + L). Ele então precisa se conectar ao seu PC de volta ao escritório usando seu laptop pessoal remotamente (via RDP ou algo assim). No entanto, usando essa nova política, ele não poderá fazer isso.

A explicação dada pelo Securitay é que as senhas não são salgadas. No entanto, como um invasor obteria acesso nesse caso? De que lado a senha não é salgada? Ou a situação que tenho em minha mente não tem nenhuma relação com o que ela está tentando dizer? Se for esse o caso, o que ela está realmente tentando dizer?

— O homem
fonte

Não sei ao certo qual é o problema descrito, mas no seu cenário nenhuma das contas usadas são contas locais. Direita?

— Martijn Heemels

Não é por nada e sem ofensa, mas por que você não pergunta ao autor do post? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— Joeqwerty 17/10/2015

@joeqwerty o autor está ocupado executando e não responde com frequência.

— precisa saber é o seguinte

@joeqwerty Ela está a 1.989 turnê, então ela é muito ocupado ...

— The Man

É realmente necessário desativar o logon de rede para contas locais? Não é desativado pelo UAC remoto por padrão?

— chris

Respostas:

Permitir logon de rede para contas locais é perigoso e é uma prática de segurança ruim. Para os membros do grupo de administradores, eu o caracterizaria como negligência. Ele permite o movimento lateral e é difícil de detectar e auditar porque os logons da conta não são registrados centralmente (nos controladores de domínio).

Para atenuar essa ameaça, a Microsoft criou dois novos identificadores de segurança internos para adicionar ao direito de usuário "Negar acesso a este computador da rede":

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— Greg Askew
fonte

Obrigado por responder. Então, deixe-me entendê-lo corretamente:

— The Man

Digamos que eu tenho um DC (SERVER1) com o RDP ativado. No meu laptop pessoal (não conectado ao domínio do AD), tenho o mesmo nome de usuário e senha de administrador. Então, quando eu quero gerenciar o SERVER1, eu me conecto a ele via RDP no meu laptop pessoal. No entanto, um dia, meu laptop pessoal foi roubado e o ladrão foi capaz de acessar meu laptop com permissões de administrador. A partir daí, ele pode ver o hash da senha do usuário local e usar o mesmo hash para se conectar ao servidor. Esse cenário estaria correto então?

— The Man

No entanto (se este cenário estiver correto), isso levantou mais questões. Não haveria nenhum risco se eu tivesse simplesmente usado senhas diferentes para usuários diferentes? Além disso, como o logon de rede ativado será importante nesse caso? É apenas porque o invasor pode obter acesso e configurá-lo sem ter acesso físico?

— The Man

Sim para ambos, mas duvido que um auditor aceite senhas diferentes como um controle compensatório suficiente para esse risco. Ter contas de administrador local ativadas para logon na rede é o tipo de movimento lateral que afunda seu navio de guerra quando você é atacado. As contas de administrador local devem ser apenas para acesso local e nunca pela rede.

— Greg Askew

Apenas para esclarecer algumas coisas. Sim para ambos, você quer dizer que o cenário mais recente que sugeri está correto, certo? Além disso, quão ruins as coisas seriam se os logons de rede estivessem habilitados? Eu pergunto isso, pois ainda não consigo ver como a ativação do logon na rede permitiria o acesso dos invasores. Além disso, se eu desativar o logon de rede, o acesso físico é a única maneira de fazer a interface / configuração do servidor?

— The Man

Não, seu cenário de exemplo está incorreto. Se ele estiver usando credenciais do AD para fazer login, está tudo bem. O problema é com contas locais, ou seja, aquelas criadas e existentes apenas em computadores individuais. Por exemplo,. \ Administrator, mas isso se aplica a qualquer conta no domínio do computador (COMPUTERNAME \ USERNAME). O risco de segurança ", AIUI, é que, se as contas locais (por exemplo, o administrador local) compartilham a mesma senha em várias máquinas, é possível extrair os hashes de senha do computador e reutilizá-los em alguns casos (como uma infestação por malware) ou outro invasor) se mover lateralmente entre computadores.

— Micha
fonte

Obrigado por responder. No entanto, você pode dar um exemplo de cenário de como a segurança pode ser comprometida?

— The Man

A Contoso usa uma senha de administrador local fixa. A Contoso não impede o logon de rede para contas locais. O usuário recebe algum tipo de malware, que chega ao ponto em que é executado com direitos de administrador. Extrai os hashes da senha. Se não me engano, há maneiras de usar um hash para autenticação em algumas circunstâncias. Ou talvez seja fácil quebrar o hash, ou sobre uma mesa arco-íris, ou algo assim. O malware então se conecta a todas as máquinas e se espalha para elas. Não apenas isso, mas é difícil descobrir o que está acontecendo, porque isso não está sendo registrado no DC ou em qualquer outro local, apenas nos PCs individuais.

— 22615 Micha