Pourquoi devriez-vous désactiver la connexion réseau pour les comptes locaux?

8

Cette question fait référence au fil Twitter de @ SwiftOnSecurity: https://twitter.com/SwiftOnSecurity/status/655208224572882944

Après avoir lu le fil, je ne comprends toujours pas pourquoi vous souhaitez désactiver la connexion réseau pour les comptes locaux.

Voici donc ce que je pense, corrigez-moi s'il vous plaît:

Disons que j'ai un AD configuré avec un DC et plusieurs clients. L'un des clients est John. Le matin donc, John se met au travail et se connecte à son ordinateur de bureau avec les informations d'identification AD. A midi, John part pour une réunion et «verrouille» son ordinateur (windows + L). Il doit ensuite se connecter à son PC au bureau à l'aide de son ordinateur portable à distance (via RDP ou quelque chose). Cependant, en utilisant cette nouvelle politique, il ne pourra pas le faire.

L'explication donnée par Securitay est que les mots de passe ne sont pas salés. Cependant, comment un attaquant aurait-il accès dans ce cas? À quelle extrémité le mot de passe n'est-il pas salé? Ou la situation que j'ai dans mon esprit n'est-elle pas complètement liée à ce qu'elle essaie de dire? Si tel est le cas, qu'essaie-t-elle réellement de dire?

windows active-directory security group-policy windows-server-2012-r2 L'homme
la source
Je ne sais pas quel est le problème décrit, mais dans votre scénario, aucun des comptes utilisés n'est un compte local. Droite?
Martijn Heemels
4
Pas pour rien, et pas d'offense, mais pourquoi ne demandez-vous pas à l'auteur de l'article? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."
joeqwerty
4
@joeqwerty l'auteur est occupé à jouer et ne répond pas souvent.
tedder42
1
@joeqwerty Elle est en tournée en 1989, donc elle est plutôt occupée ...
The Man
Est-il vraiment nécessaire de désactiver la connexion réseau pour les comptes locaux? N'est-il pas désactivé par Remote UAC par défaut?
chris

Réponses:

10

Autoriser l'ouverture de session réseau pour les comptes locaux est dangereux et constitue une mauvaise pratique de sécurité. Pour les membres du groupe des administrateurs, je qualifierais cela de négligence. Il permet un mouvement latéral et est difficile à détecter et à auditer car les ouvertures de compte ne sont pas enregistrées de manière centralisée (sur les contrôleurs de domaine).

Pour atténuer cette menace, Microsoft a en fait créé deux nouveaux identifiants de sécurité intégrés à ajouter au droit d'utilisateur "Refuser l'accès à cet ordinateur à partir du réseau": 

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

Greg Askew
la source
Merci d'avoir répondu. Alors permettez-moi de bien le comprendre:
The Man
Disons que j'ai un DC (SERVER1) avec RDP activé. Sur mon ordinateur portable personnel (non connecté au domaine AD), j'ai le même nom d'utilisateur et mot de passe administrateur. Donc, quand je veux gérer SERVER1, je me connecte via RDP à partir de mon ordinateur portable personnel. Cependant, un jour, mon ordinateur portable personnel a été volé et le voleur a pu accéder à mon ordinateur portable avec des autorisations d'administrateur. De là, il peut alors voir le hachage du mot de passe de l'utilisateur local et utiliser le même hachage pour se connecter au serveur. Ce scénario serait-il correct alors?
The Man
Cependant (si ce scénario est correct), cela a soulevé plus de questions. N'y aurait-il aucun risque si j'avais simplement utilisé des mots de passe différents pour différents utilisateurs? En outre, en quoi l'activation de la connexion réseau est-elle importante dans ce cas? Est-ce simplement parce que l'attaquant peut y accéder et le configurer sans avoir d'accès physique?
The Man
2
Oui aux deux, mais je doute qu'un auditeur accepterait d'avoir des mots de passe différents comme contrôle compensatoire suffisant pour ce risque. L'activation des comptes d'administrateur local pour la connexion réseau est le type de mouvement latéral qui coule votre cuirassé lorsque vous êtes attaqué. Les comptes d'administrateur local ne devraient être que pour l'accès local et jamais sur le réseau.
Greg Askew
Juste pour clarifier certaines choses. Par oui aux deux, vous voulez dire que le nouveau scénario que j'ai suggéré est correct, non? De plus, à quel point les choses seraient-elles mauvaises si les connexions réseau étaient activées? Je pose cette question car je ne vois toujours pas comment l'activation de la connexion réseau permettrait aux attaquants d'accéder. De plus, si je désactive la connexion réseau, l'accès physique est-il le seul moyen d'interfacer / configurer le serveur?
The Man
3

Non, votre exemple de scénario est incorrect. S'il utilise des informations d'identification AD pour se connecter, tout va bien. Le problème concerne les comptes locaux, c'est-à-dire ceux qui sont créés sur et qui n'existent que sur des ordinateurs individuels. Par exemple,. \ Administrateur, mais cela s'applique à tout compte du domaine de l'ordinateur (COMPUTERNAME \ USERNAME). Le risque de sécurité ", AIUI, est que si les comptes locaux (par exemple, l'administrateur local) partagent le même mot de passe sur plusieurs machines, il est possible d'extraire les hachages de mot de passe de l'ordinateur et de les réutiliser dans certains cas pour (comme une infestation de logiciels malveillants) ou autre attaquant) se déplacer latéralement entre les ordinateurs.

Micha
la source
Merci d'avoir répondu. Cependant, pouvez-vous donner un exemple de scénario sur la façon dont la sécurité peut être compromise?
The Man
Contoso utilise un mot de passe administrateur local fixe. Contoso n'empêche pas la connexion réseau pour les comptes locaux. L'utilisateur obtient une sorte de malware, qui arrive au point où il s'exécute avec les droits d'administrateur. Il extrait les hachages de mot de passe. Si je ne me trompe pas, il existe des moyens d'utiliser un hachage pour l'authentification dans certaines circonstances. Ou peut-être que le hachage est facile à casser, ou sur une table arc-en-ciel, ou quelque chose. Le malware se connecte ensuite à toutes les machines et se propage à celles-ci. Non seulement cela, mais il est difficile de savoir ce qui se passe, car cela n'est pas enregistré sur le DC ou n'importe où dans le centre, uniquement sur les PC individuels.
Micha