Active Directory用户账户安全配置与漏洞检测

本文详细分析了Active Directory中各类用户账户的安全风险配置,包括闲置账户、可逆加密、密码策略等问题,并提供了使用PowerShell检测脆弱账户的实用脚本,帮助企业加强目录服务安全防护。

Active Directory安全提示 #2:Active Directory用户账户

用户账户有几种不同的类型——至少在使用方式上是这样。包括标准用户账户、服务账户和管理员账户。

有许多用户账户设置可能使其变得脆弱。这些配置包括:

  • 闲置账户 - 账户超过180天未登录或更改密码,可能被标记为非活动/陈旧账户 - 已知非活动的账户应被禁用。
  • 可逆加密 - 在域控制器上实际上是明文 - 没有理由设置此选项。
  • 不需要密码 - 账户可能没有关联密码 - 可能由配置系统设置 - 没有理由设置此选项。
  • 密码永不过期 - 密码很可能很旧 - 不应在标准用户账户上设置。
  • 启用Kerberos DES加密 - DES是一种较弱的加密方法,可实现更快的密码暴力破解。没有理由设置此选项。
  • 账户不需要Kerberos预认证 - 启用了一种简单的攻击方法来发现账户密码(AS-REP roasting)。可能因应用程序兼容性问题而设置。应始终要求Kerberos预认证。
  • 账户无法更改密码 - 密码可能不会更改。标准用户账户不应设置此选项。

攻击者会寻找这些配置,因此最好定期审查和调整。管理员账户和服务账户需要比标准用户账户更多的额外保护。

PowerShell代码(使用Active Directory PowerShell模块):

https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次