2要素認証を使用してPass-the-Hashを停止する
ネットワーク全体のセキュリティも向上させるActive DirectoryのPass + the-HashおよびPass-the-Ticketの緩和策も検討しています。ユーザーログインのセキュリティを向上させるために、多くの2要素認証オプションのいくつかを並べ替えますが、標準のADの方法では、2要素認証がまだKerberosまたはNTLMを使用していることがわかりました。そのため、pass-the-hash攻撃またはpass-the-ticket攻撃は依然としてドメインに対して効果的です。私が読んだことは、「対話型」ログインのみがこれに対して脆弱ではないことを言っているようです。
パスワードと同じようにpass-the-hash/ticketに対して脆弱ではない方法で、ADユーザーログインに2要素認証を採用するにはどうすればよいですか?重要な範囲で、私はWindows Server 2008 R2とServer 2012を使用する環境について言及しています。
Matt Weeksは、彼のクレデンシャルアセスメントマッピング特権エスカレーション talk で、PtH、PtT、およびPtK(OPtH)を防ぐための多くの手法について説明しています。
41:50から48:52まで、彼は多くの防止角度と問題点を調べます (https://youtu.be/_XXs8pRnqSQ?t=41m50s
私のお気に入りの推奨事項は 毎週KRBTGTのローテーション です。スマートカードを利用できる場合は、ユーザーハッシュを毎日ローテーションします。また、ドメインへの着信NTLMをブロックする一般的なPtHコントロールについても述べています。
DFIRブログには、他の多くの検出と緩和策に関する優れた3部構成のシリーズがあります-
- http://dfir-blog.com/2015/11/08/protecting-windows-networks-defeating-pass-the-hash/
- http://dfir-blog.com/2015/11/24/protecting-windows-networks-dealing-with-credential-theft/
- http://dfir-blog.com/2015/12/13/protecting-windows-networks-kerberos-attacks/
2要素認証と1回限りのパスワードスキームに関しては、FIDO(YubiKeyなど)または競合システムが上記の提案のいずれかを阻止することはないと思います-制御強度を高め、運用上の残余を提供するだけですリスク削減。
2FAをp2H(盗まれたkerberos資格情報)の緩和策として使用する方法はありません。
- Windows ADネットワークには、Kerberosトークン/ハッシュとクリアテキストのログイン/パスワードの2種類の資格情報があります。
- Kerberosは単一要素認証プロトコルです。パスワードハッシュまたはPKI証明書を認証しますが、両方は認証しません。盗まれたKerberos資格情報を保護する2FAの方法はありません。 (2FAはSSOの原則に反するユーザーの反復を必要とします-最初のログイン後にユーザーの反復はありません)。セキュリティガバナンスプログラム(PtHを軽減するための一連の対策)を実装する必要があります。
- 盗まれた/不正使用されたログイン/パスワードは、MSによる2FA方式(OTPのみ、CAが必要)またはさまざまな2FA手段を使用および組み合わせることができるサードパーティの束を使用して保護されます。