o bezpieczeństwie i nie...
Microsoft udostępnił rozwiązanie, które pomoże ustrzec się przed atakami Pass the Hash w przypadku kont lokalnych administratorów. Jest nim LAPS (Local Administrator Password Solution), umożliwiający łatwą zmianę i zarządzanie hasłami lokalnych administratorów.
Wskazówki konfiguracyjne znajdziecie tutaj, a jeśli chcielibyście dowiedzieć się jak zabezpieczyć i bezpiecznie administrować systemem Windows, zapraszamy na nasze szkolenie “Bezpieczeństwo Systemu Windows“.
Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!
Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Polecam też wersję Enterprise dostępną w ramach usługi Microsoft Premiere lub poprzez MCS.
RÓŻNICE:
Hasło składowane w postaci zaszyfrowanej przy użyciu klucza asymetrycznego
Dedykowany model bezpieczeństwa (brak niedogodności w przypadku Extended rights)
Wymuszone szyfrowanie w ruchu sieciowym
Dedykowany mechanizm audytu i acountability
Interfejs Webowy i pełna integracja z konsolą ADUC
Password history (przydatne dla maszyn wirtualnych)
Dedykowane konto admina, możliwe do wykorzystania przez HelpDesk
Nareszcie ;-) Po tylu latach ;-)
Ale to chyba nie jest zabezpieczenie przed atakiem Pass the hash… to jest “tylko” sposób zarządzania hasłami lokalnych administratorów. Owszem, przy bardzo częstej zmianie (co przestanie być problemem jak ma się automat) hash lokalnego administratora będzie miał krótki czas życia, a co za tym idzie jego “przydatność” maleje… ale to dotyczy tylko hasha hasła wbudowanego, domyślnego administratora.. pozostałe cashowane hasła pozostają niezmienione.. a przecież większość czynności w firmie wykonuje się delegowanymi kontami domenowymi z uprawnieniami administratora lokalnego, które będą się odkładać i nie będą podlegać pod mechanizm LAPSa..
Hasło jest inne na każdej maszynie, wiec temat PtH możesz sobie w ogóle darować. A cała zabawa przy dedykowanym koncie lokalnym polega na tym, żeby właśnie przestać używać globalnych kont domenowych z uprawnieniami lokalnymi. Zamiast tego konto lokalnego, którego hasło jest inne dla każdej maszyny. Cokolwiek wydarzy się na tej maszynie, nie pociąga to konsekwencji dla innych maszyn. Tego niestety nie da się powiedzieć w przypadku zalogowania się kogoś z helpdesku, gdzie konto domenowe ma prawdopodobnie uprawnienia administratora lokalnego na wszystkich workstacjach. Nie musisz nawet walczyć z hasłami, tokenami, bo możesz po prostu wykorzystać istniejąca sesje i dostać się do pozostałych maszyn w ramach których to konto jest administratorem.
LAPS i LAPS Enterprise są zdecydowanie mechanizmami, która są w stanie znacznie podnieść bezpieczeństwo w zakresie ataków Pass The Hash, Pass the Token, Pass the Session.