ডোমেন প্রশাসকদের অ্যাকাউন্ট নীতি (পিসিআই নিরীক্ষণের পরে)

14

আমাদের ক্লায়েন্টগুলির মধ্যে একটি একটি টিয়ার 1 পিসিআই সংস্থা, এবং তাদের নিরীক্ষকরা আমাদের সিস্টেম অ্যাডমিনিস্ট্রেটর এবং আমাদের অ্যাক্সেস অধিকার হিসাবে সম্মতি দিয়ে একটি পরামর্শ দিয়েছেন।

আমরা মোটামুটি 700 ডেস্কটপ / 80 সার্ভার / 10 ডোমেন কন্ট্রোলারের তাদের সম্পূর্ণ উইন্ডোজ ভিত্তিক অবকাঠামো পরিচালনা করি।

তারা পরামর্শ দিচ্ছে যে আমরা এমন একটি সিস্টেমে চলেছি যেখানে আমাদের তিনটি পৃথক অ্যাকাউন্ট রয়েছে:

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC
  • যেখানে ডাব্লুএস হ'ল অ্যাকাউন্ট যা কেবলমাত্র ওয়ার্কস্টেশনগুলিতে লগইন করে সেখানে ওয়ার্কস্টেশনগুলির স্থানীয় প্রশাসক
  • যেখানে এসআরভি হ'ল অ্যাকাউন্টটি যা কেবল নন ডিসি সার্ভারগুলিতে লগইন করে সেগুলি সার্ভারে স্থানীয় প্রশাসক
  • যেখানে ডিসি এমন অ্যাকাউন্ট যা কেবলমাত্র ডোমেন নিয়ন্ত্রকদের লগইন করে, কার্যকরভাবে একটি ডোমেন প্রশাসক অ্যাকাউন্ট

ভুল অ্যাকাউন্ট থেকে ভুল ধরণের সিস্টেমে লগনকে রোধ করার জন্য নীতিগুলি তখন থাকে (এর মধ্যে নন ডিসি মেশিনে ডোমেন প্রশাসকের অ্যাকাউন্টগুলির জন্য ইন্টারেক্টিভ লগন অপসারণ অন্তর্ভুক্ত)

এটি এমন পরিস্থিতি রোধ করার জন্য যেখানে কোনও আপোস করা ওয়ার্কস্টেশন কোনও ডোমেন প্রশাসকগণ লগন টোকেন উন্মোচন করতে পারে এবং এটি ডোমেন নিয়ামকের বিপরীতে পুনরায় ব্যবহার করতে পারে।

এটি কেবল আমাদের প্রতিদিনের কাজকর্মের জন্য খুব কূটনৈতিক নীতি হিসাবে দেখা যাচ্ছে না বরং তুলনামূলকভাবে অসম্ভব আক্রমণ / শোষণকে কীভাবে মোকাবেলা করতে হবে তা বিবেচনা করার জন্য (এটি যাইহোক আমার বোঝা, সম্ভবত আমি এই শোষণের সম্ভাব্যতাকে ভুল বুঝি) ।

আমি অন্যান্য প্রশাসকদের মতামত শুনতে আগ্রহী, বিশেষত যারা এখানে পিসিআই নিবন্ধিত সংস্থায় জড়িত ছিলেন এবং আপনি অনুরূপ সুপারিশ নিয়ে অভিজ্ঞ হন। প্রশাসক লগন সম্পর্কিত আপনার নীতিগুলি কী।

রেকর্ডের জন্য, আমাদের বর্তমানে একটি ডোমেন ব্যবহারকারীর অ্যাকাউন্ট রয়েছে যা আমরা সাধারণত ব্যবহার করি, একটি ডোমেন প্রশাসক অ্যাকাউন্ট রয়েছে যা আমাদের অতিরিক্ত অধিকারের প্রয়োজন হলে আমরাও উন্নত করে থাকি। সত্যিকার অর্থে আমরা কিছুটা অলস এবং প্রায়শই কেবল প্রতিদিন কাজকর্মের জন্য ডোমেন প্রশাসনের অ্যাকাউন্টটি ব্যবহার করি, যদিও এটি প্রযুক্তিগতভাবে আমাদের সংস্থার নীতিগুলির বিরুদ্ধে (আমি নিশ্চিত আপনি বুঝতে পেরেছেন!)।

domain-controller  user-accounts  pci-dss 
প্যাট্রিক
সূত্র
4
একটি স্তর 1 হওয়ায় আমি আশ্চর্য হয়েছি যে তাদের নেটওয়ার্ক যা সিসি অর্থ প্রদান করে সেই একই নেটওয়ার্কটিতে এই উইন্ডোজ অবকাঠামোটি চালু আছে এবং এটি নিজস্ব অংশে বিভক্ত নয়। কমপ্লায়েন্সকে অনেক সহজ করে তোলে।
TheCleaner
এটি বোধগম্য হবে না, তবে দুর্ভাগ্যজনকভাবে নয়। যদিও তারা ডোমেন ব্যবহারকারীর অংশ নয়, তাই আমাদের প্রশাসক অ্যাকাউন্টগুলি সেই সিস্টেমগুলি পরিচালনা করতে অক্ষম। আমাদের (প্রযুক্তিগতভাবে) মেশিনগুলি প্রসেসিং পেমেন্টগুলিতে কোনও অ্যাক্সেস নেই।
প্যাট্রিক
আমি এখানে পিসিআই বিশেষজ্ঞ নই ... আমি চারপাশে দেখেছি এমন কয়েকটি আছে। যাইহোক, এটি প্রয়োজনীয়তার মতো কিছু মনে করি না। বনাম প্রয়োজন বোধ করা বড় পার্থক্য। আপনার চূড়ান্ত অনুচ্ছেদে আপনি যা বলছেন তা করার জন্য আমি কঠোর পরিশ্রম করব এবং এটি বাস্তবতা নিশ্চিত করতে সহায়তা করার জন্য ব্যবস্থা গ্রহণ করুন।
TheCleaner
সার্ভারফল্ট.কোয়েশনস / ২২৪৪6767/২ এর অনুরূপ অভিজ্ঞতার মতো মনে হচ্ছে - মূলত এটি একটি ভাল পরিকল্পনা এবং কিছু বাজে আক্রমণ রোধ করতে পারে।
আয়েন হাল্লাম

উত্তর:

18

আমি একটি টিয়ার 1 পিসিআই বিক্রেতার কাছে আছি। আমাদের কয়েকটি জায়গায় কিছু পার্থক্য রয়েছে place

নিরীক্ষকরা আসলে একটি খুব বাস্তব সমস্যা বর্ণনা করার চেষ্টা করছেন, তবে এর প্রভাবগুলি এবং বিশ্লেষণের প্রয়োজন ব্যাখ্যা করার জন্য অবিশ্বাস্যভাবে দুর্বল কাজ করছেন job

পাসওয়ার্ডের একটি হ্যাশ বা বিদ্যমান টোকেন ব্যবহার করে কোনও সিস্টেমের সাথে আপস করা এখন আরও কার্যকর। স্পষ্টতই বলতে গেলে, আপনার আক্রমণকারীটির আর আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ডের প্রয়োজন নেই। সিস্টেমে আক্রমণ করার সহজ উপায়গুলি এখন রয়েছে। কোনও পরিস্থিতিতে আপনার অনুমান বা সিদ্ধান্ত নেওয়া উচিত নয় যে এই ধরণের আক্রমণ সম্ভাবনা নেই। হ্যাশ আক্রমণগুলি এখন ডিফাক্টো আক্রমণ আক্রমণকারী

স্মার্ট কার্ড অ্যাকাউন্টগুলির সাথে হ্যাশ আক্রমণগুলি আরও খারাপ, যা বিদ্রূপজনক, কারণ বেশিরভাগ লোকেরা প্রত্যাশা করেন যে স্মার্ট কার্ডগুলি প্রয়োগ করা কোনও সিস্টেমের সুরক্ষা বাড়িয়ে তুলবে।

পাস-দ্য হ্যাশ আক্রমণের কারণে যদি কোনও অ্যাকাউন্ট আপস করা হয় তবে স্বাভাবিক প্রতিক্রিয়া হ'ল অ্যাকাউন্টটির পাসওয়ার্ড পরিবর্তন করা। এটি প্রমাণীকরণের জন্য ব্যবহৃত হ্যাশ পরিবর্তন করে। এছাড়াও, একটি সাধারণ পাসওয়ার্ডের মেয়াদোত্তীর্ণকরণ / পরিবর্তন কোনও আক্রমণ হতে পারে, আক্রমণকারীর হ্যাশ ব্যর্থ হতে শুরু করে। তবে, স্মার্ট কার্ডের সাহায্যে পাসওয়ার্ডটি 'সিস্টেম-পরিচালিত' (ব্যবহারকারী কখনও প্রমাণীকরণের জন্য পাসওয়ার্ড প্রবেশ করে না), তাই হ্যাশ কখনও পরিবর্তন হয় না। এর অর্থ স্মার্ট কার্ড অ্যাকাউন্টগুলির সাথে, কোনও অ্যাকাউন্ট যা পাসওয়ার্ড ব্যবহার করে তার চেয়ে বেশি বেশি সময় ধরে আক্রমণটি লক্ষ্য করা যায় না।

আমি বিবেচনা করব এমন প্রশান্তি এখানে রয়েছে:

  • স্মার্টকার্ড-সক্ষম অ্যাকাউন্টগুলির জন্য, যা অনেকগুলি বড় সংস্থাগুলি উচ্চ-সুবিধাযুক্ত অ্যাকাউন্টগুলির জন্য ব্যবহার করে, ঘন ঘন ব্যবধানে অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করে। এটি হ্যাশ পরিবর্তন করে। আপনি অ্যাকাউন্টটি সক্ষম করে আন-স্মার্টকার্ডের মাধ্যমে হ্যাশটি পরিবর্তন করতে পারেন, তারপরে এটি পুনরায় স্মার্টকার্ড সক্ষম করে। মাইক্রোসফ্ট প্রতি 24 ঘন্টা এটি করে তবে আপনার পরিবেশে এটির যে সম্ভাব্য প্রভাব হতে পারে তা মূল্যায়ন করতে হবে এবং একটি অতিরিক্ত সময়সূচী স্থাপন করতে হবে যাতে আপনি অতিরিক্ত সমস্যা তৈরি না করে।

  • ওয়ার্কস্টেশনগুলির জন্য, আমি যদি সম্ভব হয় তবে অ্যাডমিনের উদ্দেশ্যে ডোমেন অ্যাকাউন্টগুলি ব্যবহার করব না। আমাদের একটি স্থানীয় অ্যাকাউন্ট রয়েছে যা ইউএসি টাইপ ক্রিয়াকলাপের জন্য উন্নত করতে ব্যবহার করা যেতে পারে। এটি বেশিরভাগ উচ্চতা প্রয়োজনীয়তার 99.9% পূরণ করে satisf নিয়মিত পরিবর্তন নিয়ন্ত্রণের অভাব এবং জাভা জেআরই এবং ফ্ল্যাশের অস্তিত্বের কারণে ওয়ার্কস্টেশনগুলি হট অ্যাটাকের ভেক্টর হতে থাকে।

    স্থানীয় অ্যাকাউন্টগুলির জন্য পাসওয়ার্ড পরিচালনা এবং প্রয়োগের জন্য আমাদের কাছে একটি আনুষ্ঠানিক ব্যবস্থা আছে এবং প্রতিটি সিস্টেমে পাসওয়ার্ডটি অনন্য এবং এই পাসওয়ার্ডটির জন্য কারও কাছে অনুরোধ করার জন্য একটি সুরক্ষিত পদ্ধতি বিদ্যমান বলে আমাদের এই পদ্ধতির কাজ করে। এছাড়াও বাণিজ্যিক অ্যাপ্লিকেশন রয়েছে যা এই ফাংশনটি সম্পাদন করতে পারে।

  • আপনি যদি ওয়ার্কস্টেশনের জন্য স্থানীয় অ্যাকাউন্ট সমাধান সরবরাহ করতে না পারেন, তবে হ্যাঁ, ওয়ার্কস্টেশনে প্রশাসনিক অ্যাক্সেসের জন্য একটি পৃথক ডোমেন অ্যাকাউন্ট ব্যবহার করা উচিত এবং সেই অ্যাকাউন্টটি সার্ভারগুলিতে প্রশাসনিক অ্যাক্সেসের জন্য ব্যবহার করা উচিত নয়। অন্য বিকল্পটি হ'ল দূরবর্তী, অ-ইন্টারেক্টিভ সমর্থন পরিচালন সরঞ্জামগুলি যা লোকালসিস্টেমগুলি ক্রিয়াকলাপ করতে ব্যবহার করে এবং উইন্ডো থেকে পৃথক একটি প্রমাণীকরণ প্রক্রিয়া।

  • সর্বাধিক সুবিধাযুক্ত অ্যাকাউন্টগুলির জন্য (এন্টারপ্রাইজ অ্যাডমিন, ডোমেন অ্যাডমিন, ইত্যাদি), কেবল একটি লাফ সার্ভার ব্যবহার করুন। এই সার্ভারটি সবচেয়ে সীমাবদ্ধ সুরক্ষা, পরিবর্তন নিয়ন্ত্রণ এবং নিরীক্ষণের সাপেক্ষে। অন্যান্য সকল ধরণের প্রশাসনিক ধরণের ক্রিয়াকলাপের জন্য পৃথক প্রশাসনিক অ্যাকাউন্ট থাকার কথা বিবেচনা করুন। এলএসএ প্রক্রিয়া থেকে প্রক্রিয়া টোকেনগুলি সাফ করার জন্য জাম্প সার্ভারটি প্রতিদিন পুনরায় চালু করা উচিত।

  • আপনার ওয়ার্কস্টেশন থেকে প্রশাসনিক কাজগুলি সম্পাদন করবেন না। একটি কঠোর সার্ভার বা একটি জাম্প সার্ভার ব্যবহার করুন।

  • সহজেই ভিএমএসকে আপনার জাম্প বাক্স হিসাবে পুনরায় সেট করার কথা বিবেচনা করুন, যা প্রতিটি সেশনের পরে মেমরি পরিষ্কার করতে পুনরায় সেট করা যেতে পারে।

আরও পড়া:

https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

মাইক্রোসফ্ট সুরক্ষা গোয়েন্দা প্রতিবেদন, খণ্ড ১৩, জানুয়ারী - জুন ২০১২ http: //www.mic Microsoft.com/security/sir/archive/default.aspx

বিভাগটি পড়ুন: "পাস-দ্য হ্যাশ আক্রমণগুলির বিরুদ্ধে রক্ষা করা"।

ভয়ঙ্কর পাস-হ্যাশ আক্রমণগুলি পরাজিত করুন
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

গ্রেগ অ্যাস্কিউ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.