本文深入探讨Active Directory中默认域管理员账户的安全管理要点,包括账户使用时间、密码策略、Kerberos服务主体名称检查等关键技术细节,并提供了实用的PowerShell命令用于安全审计。
Active Directory安全提示 #5:默认域管理员账户
在每个Active Directory域中,都存在默认的域管理员账户。以下是一些需要检查的关键事项:
- 您是否知道管理员账户最后一次使用(登录)的时间?
- 最后一次更改密码是什么时候?密码是否当前有效?
- 密码是如何管理和存储的?
- 该账户是否关联了Kerberos服务主体名称(SPN)?(不应该有关联)
- 账户是否启用?(如果启用,可能没问题)
使用AD PowerShell cmdlets检查当前域的PowerShell命令:
1
2
3
|
$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
Get-ADUser "$((Get-ADDomain).DomainSID)-500" -Properties Name,Enabled,Created,PasswordLastSet,LastLogonDate,ServicePrincipalName,SID -Server $DomainDC
|