Fråga:
Är lokal administratörsåtkomst en fara för ett korrekt inrättat nätverk?
Belle
2018-07-23 18:47:36 UTC
view on stackexchange narkive permalink

Jag läste den här frågan: Är det vanligt att tillåta lokal administratörsåtkomst för utvecklare i organisationer?

Den här frågan får mig att undra. Jag kan se hur lokal adminåtkomst är en fara för maskinen. Men kan en dator med ett användarkonto med lokal administratörsaccess faktiskt utgöra en större risk för ett korrekt inställt nätverk än en dator som inte har lokal administratörsåtkomst? Om ja, hur?

Det beror på vilka rättigheter som användare eller maskin har på nätverket. \
@schroeder antar inte annorlunda än en användare som inte är administratör, eftersom vi jämför dem.
Om du inte har sett utvecklare köra oseriösa DHCP-servrar (så ofta som inte, bara av misstag - till exempel, menar att göra det bara för en virtuell dator, men överbrygga den till huvudnätverket av misstag), har du antingen tur, eller har inte arbetat någonstans utvecklare körde subnät med testhårdvara eller på annat sätt gjorde tillräckligt intressanta saker.:)
Jag har också fått utvecklare att skapa icke-STP-aktiverade slingor via dålig VPN eller bridge-konfiguration.
Din fråga är lite blandad.Vad menar du med "vara en fara för ett korrekt inställt nätverk över en dator som inte har lokal adminåtkomst?".Menade du: Finns det en risk för en annan dator som användaren inte har administratörsbehörighet till över ett väl konfigurerat nätverk?
@TomK.Ja, i princip till någon eller något i nätverket som inte är den aktuella datorn.
Jag minns att jag läste om en säkerhetsincident där läkarjournaler läcktes ut eftersom en av kontorspersonalen installerade program för fildelning på sin dator.Jag tror att företaget gick i konkurs som ett resultat.[Om jag kan hitta en hänvisning till den här händelsen lägger jag upp den som ett svar.]
@HarryJohnston Och om han installerade denna programvara endast med användarrättigheter?Programvaran kunde fortfarande ha gjort allt den gjorde
@Falco, detta var för några år sedan, så förmodligen inte.Bra poäng, numera mer och mer programvara är utformad för att installeras i användarutrymmet, så att neka administratörsåtkomst till slutanvändaren är bara en start, inte allt du behöver göra på något sätt.
åtta svar:
gowenfawr
2018-07-23 19:35:51 UTC
view on stackexchange narkive permalink

Lokal administratörsåtkomst innebär att det är lättare för angriparen att upprätta en ihållande kontroll av värden, att installera programvara och ändra systeminställningar och att vidta åtgärder som att sniffa i nätverket som kan göra det möjligt att flytta i sidled till andra system.

Så ja, det är en fara för nätverket genom att det ger angriparen mer stabil åtkomst till en mer kapabel plattform för sidorörelse.

Jag har lokal administratörsåtkomst, såväl som ihållande kontroll och förmågan att installera programvara och ändra systeminställningar på min egen maskin, och ändå utgör jag inget särskilt hot mot internet (åtminstone inte värdarna som är korrekt inställda).Kan du utarbeta varför ett LAN skulle vara annorlunda i detta avseende?
@Ray på Internet, du har icke-lokala (icke-sändnings) anslutningar till många maskiner med en viss nivå av sina sköldar.På ett LAN är skärmarna nere, kamrater är betrodda, och beroende på nätverkskonfigurationen kan det finnas mycket saftiga bitar av data i sändningstrafiken.En "varg" i LAN full av får är mycket farligare än på Internet.
Observera att inte alla LAN är betrodda;det är fullt möjligt att ha ett [trustless network] (https://cloud.google.com/beyondcorp/).Det betyder inte att du bara kan sluta oroa dig för lokala administrations eskaleringar, förstås, men det gör dem måttligt mindre skrämmande.
Angriparen kan redan installera mycket programvara utan administratörsåtkomst, ändra många användaromfattade systeminställningar.Lägg till sig själv som ett bakgrundsstartprogram för användaren.Naturligtvis ger lokal admin mer lokal åtkomst - men å andra sidan har en användare med lokal admin lättare tid att torka sin maskin.
Jag skulle inte vara säker på att gå med på "mer kapabla" ur ett nätverksperspektiv.Angriparen kan "gräva in" på lokal administratör efter att han framgångsrikt genomfört en attack.
@Falco kan angriparen - men om de inte kommer in till administratörsbehörigheter, är angriparens första steg att försöka höja privilegierna, att få dem.Så som jag sa ovan "gör det lättare" eftersom vi ger bort något som angriparen annars skulle behöva arbeta för.
Steve Sether
2018-07-23 22:34:53 UTC
view on stackexchange narkive permalink

Fara är lite av ett starkt ord. Jag skulle säga att lokal administratörsaccess ger ytterligare nätverksrisker än icke-administratörsaccess.

Admin-åtkomst tillåter användaren att köra en paketskalare i promiskuöst läge. Att kan medföra ytterligare risker om nätverket i fråga är sårbart för MiTM-attacker, eller annan okrypterad, känslig information går över nätverket.

Du måste förstå denna risk i sammanhanget av användare som normalt har fysisk tillgång till nätverket. En skadlig insider med fysisk åtkomst till nätverkskabeln kan helt enkelt bara koppla in sin egen enhet i nätverket som de också har root / admin-åtkomst och sniffa paket på och utföra samma attacker utan root-åtkomst på sin egen maskin.

Du antar lokalt intrång / attack.Icke-insiderattacker med icke-administratörsnivå måste fungera (skalningsrättigheter) för att kunna få ett promisköst nätverk, så det är en fara.BTW, jag gillar noggrant med råd om nätverkskabeln.
Joshua
2018-07-24 07:01:25 UTC
view on stackexchange narkive permalink

Det är mycket mer fara än vad de flesta antar. När vi diskuterade hur mycket någon kunde göra från Local Admin (lokalt konto, inte domänkonto) på en domänansluten dator sa jag "Vill du ta reda på det?" Ingen gjorde det. Visade sig att de ville diskutera teorin men inte testa den.

Jag hävdade på den andra frågan mot vad försvarar du? Tja, här är saken. Nästa gång någon annan ansluter till den aktuella maskinen kan den lokala administratören utge sig för den användaren. Om det var en nätverksdelningsåtkomst kan efterlikningen bara användas i några minuter. Men några sekunder av domänadministratör är mycket att skapa en tjänst på en nätverksdelning på domänkontrollanten.

Förr var det dumt värre. Maskinen kan MITM-attackera någon i nätverket som inte specifikt är försvarad mot arp-spoofing. Fram till nyligen var detta slutspelet, men MS kom äntligen ihop och stängde SMB mot MITM genom att fixa autentpaketet och faktiskt göra en bakåtkompatibel förändring så att den förblir fast.

Men inte tillåta utvecklarens VLAN-åtkomst till internet är dum. Det bästa kanske att göra är att låta dem ha admin på sina maskiner eller virtuella datorer men helt enkelt inte gå med dem till domänen.

Ändå kommer detta nästan aldrig upp. Hotet om att bli avskedat och åtalat hindrar utvecklarna från att gå all-out så här, och av någon anledning använder internet-bourne malware inte de här grejerna. Så igen, vad försvarar du egentligen mot? Utvecklarna kan förmodligen ta över ändå . Du måste installera versionuppdateringar för produktion förr eller senare.

I grund och botten "om maskinen delas blir det plötsligt mycket värre".
Kan det åtminstone delvis mildras genom att isolera klienterna på switcharna?Så att varje dator bara kan utbyta trafik med en upplänksport?Naturligtvis exponerar det fortfarande allt som är tillgängligt (som lokala servrar) för den skadliga maskinen, men begränsar åtminstone sändning, ARP och direkt (PC-PC) trafik.
@filo: endast om du knappar in dina Mac-adresser i dina switchar.Men det blockerar fortfarande inte symbolstöld.
Jag tror att du blandar samman domänadministratör och lokaladministratör.Jag kan redan efterlikna en användare med lokal åtkomst till hans konto?Lokal administratör ändrar inte någonting ur ett yttre perspektiv
@Falco: Det är jag inte.Underskatta aldrig kraften i en kärnfelsökare.När domänadministratören ansluter alls kan tråden som körs ändras för att göra något annat.
Thomas Weller
2018-07-24 20:45:59 UTC
view on stackexchange narkive permalink

Ja, det är farligt.

2014 hade jag ett fall som gick så här:

  1. Utvecklare med lokala administratörsrättigheter äger äganderätt till utilman.exe , som är ett lättillgängligt program
  2. Ersätt utilman.exe med cmd.exe (som också signeras av Microsoft , så att en signaturcheck inte avslöjar den)
  3. Starta om datorn och klicka på tillgänglighetsikonen

Voilà, du har en konsol med NT-behörighets- / systemrättigheter. Du kan nu spionera referenser från kritiska processer som LSASS (t.ex. med Mimikatz). Om du kan lura din administratör (social engineering) för att fjärrlogga in på din dator har du hans referenser.

Om du inte kan installera bara en tjänst som körs med systemrättigheter också. Du kan sedan ångra hacket och helt enkelt låta tjänsten vänta en längre tid för att samla in referenser åt dig.

Det verkar som att inte har fixats i Windows 10.

Observera dock att angriparen inte behövde administratörsrättigheter om du inte använde fullständig diskkryptering.De kunde helt enkelt ha startat till flyttbart media och ersatt 'utilman.exe' med 'cmd.exe' på det sättet.(Även om det som verkligen pusslar mig om den historien är varför någon som redan hade admin tog en sådan rundväg för att komma till SYSTEM i första hand. Det finns enklare sätt!)
@HarryJohnston: ok, vilka enklare sätt?
Du kan ladda ner `psexec` från Microsofts webbplats, det har ett alternativ för att köra ett godtyckligt kommando i systemkontext.Om du vill göra det själv kan du installera en tjänst.[Ett annat alternativ är Aktivitetsschemaläggaren] (https://superuser.com/a/604099/96662).Inget av dessa är säkerhetsproblem, om du har administratörsbehörighet har du rätt att köra kod som lokalt system.
Utvecklare är mindre benägna att känna till administration och / eller säkerhetsverktyg som psexec, så det är vettigt att de skulle tillgripa något som att ersätta körbara filer.
Angelo Schilling
2018-07-24 03:27:30 UTC
view on stackexchange narkive permalink

Adminåtkomst innebär att du kan köra vissa behörighetskrävande verktyg. Paketsniffare nämns av andra. Ett annat exempel är en ARP-spoofer / förgiftare för MitM-attacker, eller en mDNS / NBT-NS-imitatör (t.ex. Responder). I allmänhet kräver alla verktyg som kräver nätverksåtkomst på låg nivå eller möjligheten att öppna vissa skyddade portar mer sannolikt administratörsåtkomst.

Att vara en lokal administratör kontra en icke-administratör innebär också att du ska kunna komma åt vissa saker på den maskinen som kan låta dig svänga till andra, t.ex. använder mimikatz för att dumpa lagrade AD-lösenord, komma åt hela registret i Windows, installera keyloggers cross-account (dvs. som en demon / tjänst) etc.

Det är ärligt natt och dag med administratörsåtkomst för att inte ; det är anledningen till att saker som OSCP fokuserar så starkt på eskalering av inlärningsrättigheter, och inte bara att få ett första fotfäste.

Sayan
2018-07-23 21:42:58 UTC
view on stackexchange narkive permalink

Svaret på din fråga är "ja". Angriparen kan mycket enkelt konvertera maskinen till en zombie och utföra skadliga uppgifter (med fullständiga administratörsrättigheter) i ditt nätverk.

En av de svåraste attackerna att mildra är "Insider Attack". I ditt fall tillåter du en angripare att utföra attacker från ditt interna nätverk med fullständiga rättigheter på en zombie (komprometterad maskin).

Lokal administratör betyder inte administratörsrättigheter på nätverksnivå.Menade du att säga det?
Detta är inte den traditionella användningen av "insiderattack".Det refererar normalt till någon som har legitim åtkomst och försöker göra något otäckt.
@Schroeder, Inte nätverksadministratören.
@TempoaralWolf,-scenariet är liknande om angriparen konverterar maskinen till en bot.
Serge Ballesta
2018-07-24 16:25:49 UTC
view on stackexchange narkive permalink

Tja, bara ett exempel. Anta att du har ett rimligt säkert nätverk med en brandvägg som tillåter fullständig utgående http / https-åtkomst från användardatorer, och ingen annan inkommande eller utgående åtkomst från dessa maskiner, och några andra protokoll för interna servrar (DNS, e-post, etc.)

En lokal admin kan ställa in en https-proxy från sitt skrivbord till ett externt relä och använda den för att helt kringgå brandväggsreglerna. Det kan till och med göras av bra skäl eftersom det gör det möjligt att fortsätta arbeta eller testa hemifrån. Men det förstör bara målet för företagets brandvägg ...

Tom
2018-07-25 09:03:57 UTC
view on stackexchange narkive permalink

Det beror på vad du menar med "korrekt konfigurerat nätverk".

Om du konfigurerar ditt nätverk för att behandla varje värd på det som potentiellt onda, troligtvis äventyrade och en möjlig attackkälla, då lokal administratörsåtkomst är inte en fara (som du inte redan förväntar dig).

I den verkliga världen är alla interna nätverk och de flesta datacentret nätverk inrättade med ett antagande om viss tillit , vilket betyder att de är åtminstone mer pålitliga än utsidan / Internet.

Lokal administratör utmanar detta antagande. Observera att jag sa "utmaningar", inte "bryter".

Du måste fråga dig själv hur pålitliga dina lokala administratörer är, både i omfattningen av avsiktlig handling och på skalan av fel och misstag. Det är nu din tillit till nätverket.



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...