Ansichten:

Erfahren Sie mehr über Nicht-Domänencontroller mit Domänenadministrator-Anmeldungen und wie Sie dieses identitätsbezogene Risiko mindern können.

Domänenadministratoren sollten sich nur bei Domänencontrollern anmelden und Benutzerkonten mit weniger Berechtigungen für tägliche Aktivitäten auf Nicht-Domänencontroller-Geräten verwenden. Wenn sich ein Domänenadministrator bei einem Nicht-Domänencontroller-Gerät anmeldet, werden die Anmeldeinformationen des Administrators anfällig für böswillige Akteure, die die Anmeldeinformationen durch verschiedene Taktiken extrahieren könnten, einschließlich:
  • Anmeldeinformationen-Diebstahl im Speicher (Pass-the-Hash): Angreifer können Techniken einsetzen, um die Anmeldeinformationen eines Domain-Administrators aus dem Speicher des Geräts zu extrahieren, was ihnen unbefugten Zugriff auf andere Systeme innerhalb der Domain ermöglicht.
  • Credential Sniffing: Angreifer können Netzwerkverkehr abfangen und einfache Text- oder gehashte Anmeldedaten erfassen, einschließlich der von Domänenadministratoren, was es böswilligen Akteuren ermöglichen würde, Zugang zu sensiblen Konten zu erhalten.
  • Man-in-the-Middle-Angriffe: Angreifer können unbemerkt die Kommunikation zwischen zwei Parteien abfangen und möglicherweise verändern. Wenn Domain-Administratoren ein unverschlüsseltes Protokoll zum Anmelden verwenden, können Angreifer den Authentifizierungsprozess abfangen und manipulieren, um die Anmeldedaten zu erfassen.
Um das Risiko zu mindern, dass Domänenadministratoren sich bei Nicht-Domänencontroller-Geräten anmelden, empfiehlt Trend Micro:
  • Starten Sie das Gerät neu, um den Speicher zu leeren, was normalerweise alle im Speicher gespeicherten Anmeldedaten löscht.
  • Setzen Sie sofort die Passwörter der betroffenen Domain-Administrator-Konten zurück, um potenziell kompromittierte Anmeldeinformationen ungültig zu machen und sicherzustellen, dass nachfolgende Anmeldeversuche neu generierte Passwörter erfordern.
  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für die betroffenen Domain-Administrator-Konten, um eine zusätzliche Sicherheitsebene hinzuzufügen.
  • Überprüfen und beschränken Sie die Berechtigungen von Domain-Admin-Konten auf das für die Rolle erforderliche Minimum. Vermeiden Sie die Zuweisung unnötiger Privilegien, insbesondere auf Geräten, die keine Domänencontroller sind.