O que vem depois que uma conta de domínio do Windows foi comprometida?

Estamos nos preparando para um cenário em que uma das contas de um domínio fica comprometida - o que fazer a seguir?

Desabilitar a conta seria a minha primeira resposta a seguir, mas tivemos protestos aqui há algumas semanas e eles foram capazes de usar logins com hash de um usuário administrador que saiu alguns meses atrás.

Nossas duas respostas até agora são:

1. Excluir a conta e recriá-la (cria novo SID, mas também mais drama para o usuário e trabalha para nós)
2. Altere a senha pelo menos três vezes e desative a conta

Qual seria o seu método ou o que você recomendaria?

Se apenas uma conta de usuário padrão for comprometida, alterar a senha uma vez e deixar a conta ativada deve ser bom. Um hash não funcionará depois que a senha for alterada. Também não funcionará se a conta estiver desativada. Como testador de caneta, eu me pergunto se os testadores de caneta estavam usando tíquetes Kerberos. Sob certas circunstâncias, isso pode continuar funcionando se uma senha for alterada ou se uma conta for desabilitada OU mesmo excluída (consulte os links para a atenuação).

Se uma conta de administrador de domínio foi comprometida, está literalmente terminada. Você precisa colocar seu domínio offline e alterar TODAS as senhas. Além disso, a senha da conta krbtgt precisaria ser alterada duas vezes, caso contrário, os invasores ainda poderão emitir tíquetes Kerberos válidos com as informações roubadas. Depois de fazer tudo isso, você poderá colocar seu domínio novamente online.

Implemente uma política de bloqueio de conta, para que as senhas alteradas não possam ser adivinhadas. Não renomeie suas contas. Os invasores podem descobrir facilmente os nomes de login.

Outro ponto importante é treinar seus usuários. Eles provavelmente fizeram algo imprudente que significava que a conta foi comprometida. O invasor pode nem saber a senha; eles podem estar apenas executando processos como essa conta. Por exemplo, se você abrir um anexo de malware que forneça ao invasor acesso à sua máquina, eles estarão sendo executados como sua conta. Eles não sabem sua senha. Eles não podem obter o hash da sua senha, a menos que você seja um administrador. Não permita que os usuários executem como administradores locais em suas estações de trabalho. Não permita que administradores de domínio façam login em estações de trabalho com direitos de administrador de domínio - nunca!

Links para mais informações / mitigações:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

eles foram capazes de usar logins com hash de um usuário administrador que saiu alguns meses atrás.

Os hashes de credenciais roubados não funcionam para contas desabilitadas, a menos que estejam em um computador que não esteja conectado à rede. O processo ainda precisa solicitar um ticket ou autenticar com um controlador de domínio. Não é possível fazer isso se a conta estiver desativada.

Você precisa desativar as contas administrativas dos ex-funcionários quando eles saem.

Supondo uma conta de usuário padrão, convém considerar:

1. Mude a senha.
2. Desabilite a conta.
3. Renomeie a conta (nome de usuário suspeito) e crie uma nova conta para o usuário afetado.
4. Adicione a conta suspeita a um grupo de segurança "Usuários desabilitados / comprometidos".

Para o número 4, já existe uma diretiva de grupo que faz o seguinte:

• Negar acesso a este computador da rede: "Usuários desabilitados / comprometidos"
• Negar logon pelos Serviços de Área de Trabalho Remota: "Usuários desabilitados / comprometidos"
• Negar logon localmente: "Usuários desabilitados / comprometidos"

Para uma conta de administrador de domínio, toda a sua rede é brindada.