The*_*Man 8 security windows active-directory group-policy windows-server-2012-r2
这个问题参考@SwiftOnSecurity 的 Twitter 线程:https ://twitter.com/SwiftOnSecurity/status/655208224572882944
通读该线程后,我仍然不太明白为什么要禁用本地帐户的网络登录。
所以这就是我的想法,请纠正我的错误:
假设我设置了一个带有 DC 和多个客户端的 AD。其中一位客户是约翰。因此,早上,John 开始工作,并使用 AD 凭据登录到他的台式 PC。中午,约翰出去开会,并“锁定”了他的电脑(windows + L)。然后,他需要使用他的个人笔记本电脑远程连接到办公室的 PC(通过 RDP 或其他方式)。但是,使用这项新政策,他将无法这样做。
Securitay 给出的解释是密码没有加盐。但是,在这种情况下,攻击者将如何获得访问权限?密码在哪一端没有加盐?还是我脑子里的情况与她想说的完全无关?如果真是这样,她究竟想说什么?
Gre*_*kew 10
允许本地帐户进行网络登录是危险的,而且是一种糟糕的安全做法。对于管理员组成员,我实际上会将其描述为疏忽。它支持横向移动,并且由于帐户登录未集中记录(在域控制器上)而难以检测和审核。
为了减轻这种威胁,微软实际上创建了两个新的内置安全标识符来添加“拒绝从网络访问这台计算机”用户权限:
S-1-5-113: NT AUTHORITY\Local account
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group
http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx
http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx
| 归档时间: |
|
| 查看次数: |
9002 次 |
| 最近记录: |