উইন্ডোজ ডোমেন অ্যাকাউন্টের পরে কী কী আপস করা হয়েছে?

আমরা যখন একটি ডোমেনের অ্যাকাউন্টগুলির মধ্যে একটিতে আপত্তি হয়ে যায় তখন একটি দৃশ্যের জন্য প্রস্তুত করছি? এরপরে কী করব?

অ্যাকাউন্টটি নিষ্ক্রিয় করা আমার প্রথমে জবাব দেওয়া হবে, তবে কয়েক সপ্তাহ আগে আমাদের এখানে পেনশনার ছিল এবং তারা কয়েকমাস আগে রেখে যাওয়া অ্যাডমিন ব্যবহারকারীর হ্যাশ লগিন ব্যবহার করতে সক্ষম হয়েছিল।

আমাদের এ পর্যন্ত দুটি উত্তর হ'ল:

1. অ্যাকাউন্ট মুছুন এবং এটি পুনরায় তৈরি করুন (নতুন এসআইডি তৈরি করে তবে ব্যবহারকারীর জন্য আরও নাটক তৈরি করুন এবং আমাদের জন্য কাজ করুন)
2. কমপক্ষে 3 বার পাসওয়ার্ড পরিবর্তন করুন এবং অ্যাকাউন্টটি অক্ষম করুন

আপনার পদ্ধতিটি কী হবে বা আপনি কী সুপারিশ করবেন?

যদি কেবলমাত্র একটি স্ট্যান্ডার্ড ব্যবহারকারীর অ্যাকাউন্টের সাথে আপস করা হয় তবে একবার পাসওয়ার্ড পরিবর্তন করা এবং অ্যাকাউন্টটি সক্ষম করে রাখা ঠিক হবে। পাসওয়ার্ড পরিবর্তিত হয়ে গেলে একটি হ্যাশ কাজ করবে না। অ্যাকাউন্টটি অক্ষম থাকলে এটিও কাজ করবে না। নিজেই পেন পরীক্ষক হিসাবে আমি অবাক হয়েছি যে পেন-পরীক্ষকরা কার্বেরোসের টিকিট ব্যবহার করছেন। নির্দিষ্ট পরিস্থিতিতে যদি পাসওয়ার্ড পরিবর্তন করা হয়, বা কোনও অ্যাকাউন্ট অক্ষম করা হয় এমনকি মুছে ফেলা হয় (প্রশমিত করার লিঙ্কগুলি দেখুন) তবে এগুলি কাজ চালিয়ে যেতে পারে।

যদি কোনও ডোমেন প্রশাসকের অ্যাকাউন্টের সাথে আপস করা হয় তবে তা আক্ষরিক অর্থেই শেষ হয়ে যায়। আপনাকে আপনার ডোমেনটি অফলাইনে আনতে হবে এবং প্রতিটি পাসওয়ার্ড পরিবর্তন করতে হবে। এছাড়াও krbtgt অ্যাকাউন্টের পাসওয়ার্ড দু'বার পরিবর্তন করা দরকার, অন্যথায় আক্রমণকারীরা এখনও চুরি হওয়া তথ্য সহ বৈধ কার্বেরোস টিকিট দিতে সক্ষম হবে। একবার আপনি সমস্ত কিছু সম্পন্ন করার পরে, আপনার ডোমেনটি অনলাইনে ফিরিয়ে আনতে পারেন।

একটি অ্যাকাউন্ট লকআউট নীতি কার্যকর করুন, যাতে পরিবর্তিত পাসওয়ার্ডগুলি অনুমান করা যায় না। আপনার অ্যাকাউন্টগুলির নাম পরিবর্তন করবেন না। আক্রমণকারীরা সহজেই লগইন নামগুলি জানতে পারে ।

আর একটি গুরুত্বপূর্ণ বিষয় হ'ল আপনার ব্যবহারকারীদের প্রশিক্ষণ দেওয়া। তারা সম্ভবত মূর্খতার সাথে এমন কিছু করেছিল যার অর্থ অ্যাকাউন্টটি আপোস হয়েছে। আক্রমণকারী এমনকি পাসওয়ার্ডটিও জানেন না, তারা কেবল সেই অ্যাকাউন্ট হিসাবে প্রক্রিয়া চালাচ্ছেন। উদাহরণস্বরূপ, আপনি যদি কোনও ম্যালওয়ার সংযুক্তি খোলেন যা কোনও আক্রমণকারীকে আপনার মেশিনে অ্যাক্সেস দেয়, তারা আপনার অ্যাকাউন্ট হিসাবে চলবে running তারা আপনার পাসওয়ার্ড জানেন না। আপনি প্রশাসক না হলে তারা আপনার পাসওয়ার্ড হ্যাশ পেতে পারে না। ব্যবহারকারীদের তাদের ওয়ার্কস্টেশনগুলিতে স্থানীয় প্রশাসক হিসাবে চালাবেন না। ডোমেন অ্যাডমিনদের ডোমেন প্রশাসকের অধিকারের সাথে ওয়ার্কস্টেশনগুলিতে লগ ইন করতে দেবেন না - কখনও!

আরও তথ্য / প্রশমন জন্য লিঙ্ক:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

তারা কয়েক মাস আগে রেখে যাওয়া প্রশাসক ব্যবহারকারীর হ্যাশড লগিনগুলি ব্যবহার করতে সক্ষম হয়েছিল।

চুরি করা শংসাপত্রের হ্যাশগুলি অক্ষম করা অ্যাকাউন্টগুলির জন্য কাজ করে না, যদি না এটি কোনও কম্পিউটারে থাকে যা নেটওয়ার্কের সাথে সংযুক্ত না থাকে। প্রক্রিয়াটিতে এখনও একটি টিকিটের জন্য অনুরোধ করা বা কোনও ডোমেন নিয়ামক দিয়ে প্রমাণীকরণ করা দরকার। যদি অ্যাকাউন্টটি অক্ষম থাকে তবে তা করতে পারবেন না।

প্রাক্তন কর্মচারীরা চলে যাওয়ার সময় আপনাকে প্রশাসনিক অ্যাকাউন্টগুলি অক্ষম করতে হবে।

একটি মানক ব্যবহারকারী অ্যাকাউন্ট ধরে, আপনি বিবেচনা করতে পারেন:

1. পাসওয়ার্ড পরিবর্তন করুন।
2. অ্যাকাউন্টটি অক্ষম করুন।
3. অ্যাকাউন্টটির নাম পরিবর্তন করুন (ব্যবহারকারী নাম-সন্দেহভাজন) এবং আক্রান্ত ব্যবহারকারীর জন্য একটি নতুন অ্যাকাউন্ট তৈরি করুন।
4. সন্দেহজনক অ্যাকাউন্টটিকে একটি "অক্ষম / আপত্তিযুক্ত ব্যবহারকারী" সুরক্ষা গোষ্ঠীতে যুক্ত করুন।

# 4 এর জন্য ইতিমধ্যে একটি গোষ্ঠী নীতি রাখুন যা নিম্নলিখিতগুলি করে:

• নেটওয়ার্ক থেকে এই কম্পিউটারে অ্যাক্সেস অস্বীকার করুন: "অক্ষম / আপত্তিযুক্ত ব্যবহারকারীরা"
• রিমোট ডেস্কটপ পরিষেবাদির মাধ্যমে লগ ইন অস্বীকার করুন: "অক্ষম / আপত্তিযুক্ত ব্যবহারকারীরা"
• স্থানীয়ভাবে লগ ইন অস্বীকার করুন: "অক্ষম / আপত্তিযুক্ত ব্যবহারকারীরা"

কোনও ডোমেন প্রশাসকের অ্যাকাউন্টের জন্য, আপনার সম্পূর্ণ নেটওয়ার্ক টোস্ট।