假设你有这个:
使用客户端证书 (EAP-TLS) 授予用户访问权限的 NPS 服务器。
例如,有人设法窃取了域管理员的密码,并使用域管理员的用户名和密码登录到计算机。然后使用他们的常规用户证书,NPS 服务器授予他们访问网络的权限,并根据他们的证书将他们放置在常规用户VLAN 中。该用户VLAN 将能够访问域控制器,否则没有域用户可以登录。
所以现在这个人可以访问网络,即使他们没有管理员证书,他们也可以作为管理员登录域控制器。他们所需要的只是知道管理员的密码。所以这里的证书基本上是没用的。
为什么除了使用普通密码之外没有其他方法可以登录域控制器?(我知道有智能卡,但设置起来太复杂和昂贵)。比如为什么你不能让域控制器登录用户使用他们的证书?
所描述的EAP-TLS认证机制部署仅证明授权用户正在操作设备。这可以是本地用户配置文件、计算机配置文件或链接到 TPM 的证书。但最终,一旦身份验证完成,网络只能假设所有后续网络流量都已获得授权。
您提到的攻击在概念上与访问解锁工作站以使用被盗凭据连接到资源的人相同。就会话而言,授权用户正在执行操作。
如果您正在谈论网络(文件共享/远程管理),那么使用扩展身份验证机制将其锁定是非常困难的。阻止本地控制台 (RDP) 访问非常简单,只需将该端口防火墙连接到经过严格身份验证和网络隔离的主机即可。
您问题的根源是域管理员帐户的密码。好的做法是仅根据需要授予权限,然后限制域管理员的成员身份,以便管理员在正常工作过程中不是该组的成员。
如果需要使用这些权限执行某个功能,那么临时授予这些权限的受良好控制的过程将比尝试增强 Windows 的身份验证机制具有更多的好处。
阻止域管理员登录以交互方式登录到常规用户工作站。您可以使用组策略执行此操作。
将管理员连接限制为受信任的管理员主机。域控制器(或 VLAN ACL)上的防火墙应该限制 RDP 和 PowerShell 远程连接到受信任的管理主机。
使用 2FA。您暗示它太贵了,但这是满足当今最严格的安全标准的普遍要求。