Lokaler Administratorzugriff bedeutet, dass es für den Angreifer einfacher ist, eine dauerhafte Kontrolle über den Host herzustellen, Software zu installieren und Systemeinstellungen zu ändern sowie Maßnahmen wie das Abhören des Netzwerks zu ergreifen, das es ihm möglicherweise ermöglicht, seitlich auf andere Systeme zu wechseln.

Ja, es ist eine Gefahr für das Netzwerk, da es dem Angreifer einen stabileren Zugang zu einer leistungsfähigeren Plattform für seitliche Bewegungen bietet.

Gefahr ist ein starkes Wort. Ich würde sagen, dass der lokale Administratorzugriff zusätzliche Netzwerkrisiken gegenüber dem Zugriff ohne Administratorrechte birgt.

Der Administratorzugriff ermöglicht es dem Benutzer, einen Paket-Sniffer im Promiscuous-Modus auszuführen. Dieses kann zusätzliche Risiken darstellen, wenn das betreffende Netzwerk für MiTM-Angriffe anfällig ist oder andere unverschlüsselte, vertrauliche Informationen über das Netzwerk übertragen werden.

Sie müssen dieses Risiko im Kontext verstehen von Benutzern, die normalerweise physischen Zugriff auf das Netzwerk haben. Ein böswilliger Insider mit physischem Zugriff auf das Netzwerkkabel kann einfach sein eigenes Gerät an das Netzwerk anschließen, auf das er auch Root- / Administratorzugriff hat, und Pakete abhören und dieselben Angriffe ohne Root-Zugriff auf seinem eigenen Computer ausführen.

Es ist weitaus gefährlicher als die meisten Leute vermuten. Als wir darüber diskutierten, wie viel jemand vom lokalen Administrator (lokales Konto, nicht Domänenkonto) auf einem Computer mit Domänenbeitritt tun könnte, sagte ich: "Möchten Sie es herausfinden?" Niemand hat es getan. Es stellte sich heraus, dass sie die Theorie diskutieren wollten, sie aber nicht auf die Probe stellten.

Ich argumentierte A. > auf der anderen Frage, gegen was verteidigen Sie sich? Nun, hier ist die Sache. Wenn sich das nächste Mal eine andere Person mit dem betreffenden Computer verbindet, kann sich der lokale Administrator als dieser Benutzer ausgeben. Wenn es sich um einen Netzwerkfreigabezugriff handelt, kann der Identitätswechsel nur für einige Minuten verwendet werden. Ein paar Sekunden Domänenadministrator reichen jedoch aus, um einen Dienst auf einer Netzwerkfreigabe auf dem Domänencontroller zu erstellen.

Früher war es dumm, schlimmer. Die Maschine kann MITM-jeden im Netzwerk angreifen, der nicht speziell gegen Arp-Spoofing verteidigt ist. Bis vor kurzem war dies das Endspiel, aber MS hat sich endlich zusammengetan und SMB gegen MITM geschlossen, indem es das Auth-Paket repariert und tatsächlich eine rückwärts inkompatible Änderung vorgenommen hat, damit es behoben bleibt.

Aber nicht zulässig Der VLAN-Zugang des Entwicklers zum Internet ist dumm. Vielleicht ist es das Beste, wenn sie Administratoren auf ihren Computern oder VMs haben, sie aber einfach nicht der Domäne hinzufügen.

Dies wird jedoch fast nie angezeigt. Die Drohung, gefeuert und strafrechtlich verfolgt zu werden, hält die Entwickler davon ab, alles so zu machen, und aus irgendeinem Grund verwendet Internet-Bourne-Malware dieses Zeug nicht. Also, gegen was verteidigst du dich wirklich? Die Entwickler können wahrscheinlich sowieso übernehmen. Sie müssen früher oder später Versionsupdates in der Produktion installieren.

Ja, es ist gefährlich.

2014 hatte ich einen Fall, der so aussah:

1. Entwickler mit lokalen Administratorrechten übernimmt das Eigentum an utilman.exe , eine leicht zugängliche Anwendung
2. Ersetzen Sie utilman.exe durch cmd.exe (ebenfalls von Microsoft signiert) Eine Signaturprüfung zeigt dies nicht an.
3. Starten Sie den PC neu und klicken Sie auf das Eingabehilfesymbol.
ol>

Voilà, Sie haben eine Konsole mit NT-Berechtigungs- / Systemrechten. Sie können jetzt Anmeldeinformationen aus kritischen Prozessen wie LSASS ausspionieren (z. B. mit Mimikatz). Wenn Sie Ihren Administrator (Social Engineering) dazu bringen können, sich remote an Ihrem PC anzumelden, haben Sie seine Anmeldeinformationen.

Wenn Sie dies nicht können, installieren Sie einfach einen Dienst, der ebenfalls mit Systemrechten ausgeführt wird. Sie können den Hack dann rückgängig machen und den Dienst einfach länger warten lassen, um Anmeldeinformationen für Sie zu sammeln.

Es scheint, dass in Windows 10 nicht behoben wurde. P. >

Administratorzugriff bedeutet, dass Sie bestimmte Tools ausführen können, für die Berechtigungen erforderlich sind. Paketschnüffler werden von anderen erwähnt. Ein anderes Beispiel ist ein ARP-Spoofer / Giftmischer für MitM-Angriffe oder ein mDNS / NBT-NS-Imitator (z. B. Responder). Im Allgemeinen erfordert jedes Tool, das einen Netzwerkzugriff auf niedriger Ebene oder die Möglichkeit zum Öffnen bestimmter geschützter Ports erfordert, eher Administratorzugriff.

Wenn Sie ein lokaler Administrator oder ein Nicht-Administrator sind, bedeutet dies, dass Sie dies tun werden auf bestimmte Dinge auf diesem Computer zugreifen können, die es Ihnen ermöglichen könnten, zu anderen zu wechseln, z Verwenden Sie mimikatz, um gespeicherte AD-Kennwörter zu sichern, auf die vollständige Registrierung unter Windows zuzugreifen, keyloggerübergreifend zu installieren (dh als Daemon / Dienst) usw.

Es ist ehrlich gesagt Tag und Nacht, wenn der Administrator nicht darauf zugreifen kann ;; Dies ist der Grund, warum sich Dinge wie OSCP so stark auf die Eskalation von Lernprivilegien konzentrieren und nicht nur auf den ersten Schritt.

Die Antwort auf Ihre Frage lautet "Ja". Der Angreifer kann den Computer sehr einfach in einen Zombie verwandeln und böswillige Aufgaben (mit vollen Administratorrechten) in Ihrem Netzwerk ausführen.

Einer der am schwierigsten zu mildernden Angriffe ist der "Insider-Angriff". In Ihrem Fall erlauben Sie einem Angreifer, Angriffe von Ihrem internen Netzwerk mit vollen Rechten auf einen Zombie (kompromittierten Computer) auszuführen.

Nun, nur ein Beispiel. Angenommen, Sie haben ein einigermaßen sicheres Netzwerk mit einer Firewall, die den vollständigen ausgehenden http / https-Zugriff von Benutzerdesktops und keinen anderen eingehenden oder ausgehenden Zugriff von diesen Computern sowie einige andere Protokolle für interne Server (DNS, Mail usw.) Ermöglicht.

Ein lokaler Administrator kann einen https-Proxy von seinem Desktop zu einem externen Relay einrichten und damit die Firewall-Regeln vollständig umgehen. Es kann sogar aus guten Gründen durchgeführt werden, da es ermöglicht, von zu Hause aus weiter zu arbeiten oder zu testen. Aber es besiegt nur das Ziel der Unternehmens-Firewall ...

Es hängt davon ab, was Sie unter "Netzwerk ordnungsgemäß einrichten" verstehen.

Wenn Sie Ihr Netzwerk so konfigurieren, dass jeder Host darauf als potenziell böse, höchstwahrscheinlich gefährdet und als mögliche Angriffsquelle behandelt wird, dann Der lokale Administratorzugriff stellt keine Gefahr dar (die Sie noch nicht erwartet haben).

In der realen Welt werden alle internen Netzwerke und die meisten Rechenzentrumsnetzwerke mit der Annahme eines gewissen Vertrauensniveaus eingerichtet , was bedeutet, dass sie zumindest vertrauenswürdiger sind als das Äußere / das Internet.

Der lokale Administrator stellt diese Annahme in Frage. Beachten Sie, dass ich "Herausforderungen" und nicht "Pausen" gesagt habe.

Sie müssen sich fragen, wie vertrauenswürdig Ihre lokalen Administratoren sind, sowohl in Bezug auf absichtliche Maßnahmen als auch in Bezug auf Fehler und Irrtümer. Das ist jetzt Ihr Vertrauensniveau im Netzwerk.