Sprache:
Anmeldeinformationen eines Benutzers, der sich bei einem Computer einloggt, werden häufig im Speicher offengelegt, sodass sie von Malware gestohlen werden können, um die Identität des Benutzers anzunehmen. Privilegierte Benutzer mit Zugriff auf sensible Geschäftsdaten sollten sich nur mit sicheren, vertrauenswürdigen Computern verbinden, um das Risiko von Identitätsdiebstahl zu minimieren. Es gibt technischen Maßnahmen, um diese Regel durchzusetzen, und dieser Indicator of Exposure verifiziert ihre Implementierung.
Um Angreifern und Malware den Diebstahl privilegierter Identitäten und der zugehörigen Berechtigungen zu erschweren, sollten privilegierte Benutzer nur Verbindungen mit vertrauenswürdigen Computern herstellen. Nachdem Sie privilegierte Benutzer und vertrauenswürdige Computer mithilfe eines „Stufenmodells“ bestimmt haben, implementieren Sie technische Maßnahmen, um Login-Beschränkungen für privilegierte Benutzer im täglichen Betrieb selbst im Fall eines Versehens zu erzwingen.
Hinweis, dass das Attribut „User-Workstations“ jetzt veraltet ist
Benutzerrechte: Anmelden als Batchauftrag verweigern (SeDenyBatchLogonRight)
Benutzerrechte: Anmelden als Dienst verweigern (SeDenyServiceLogonRight)
Benutzerrechte: Lokales Anmelden verweigern (SeDenyInteractiveLogonRight)
Benutzerrechte: Anmelden über Remotedesktopdienste verweigern (SeDenyRemoteInteractiveLogonRight)
Benutzerrechte: Zugriff vom Netzwerk auf diesen Computer verweigern (SeDenyNetworkLogonRight)
Beschreibung der selektiven Authentifizierung (eingeführt in Windows 2003)
Auswirkungen der selektiven Authentifizierung auf das Verhalten des Domänencontrollers
Name: Login-Beschränkungen für privilegierte Benutzer
Codename: C-ADMIN-RESTRICT-AUTH
Schweregrad: High
Taktiken: TA0004 – Rechteausweitung
Techniken: T1078 – Gültige Konten
Benjamin Delpy: Mimikatz
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound