Active Directory用户账户安全配置与防护指南

本文详细分析了Active Directory中各类用户账户的安全风险配置,包括不活跃账户、可逆加密、密码策略等漏洞点,并提供了PowerShell检测脚本链接,帮助企业提升AD环境安全性。

Active Directory安全提示 #2:Active Directory用户账户

用户账户有几种不同的类型——至少在使用方式上是如此。包括标准用户账户、服务账户和管理员账户。

存在许多可能使用户账户变得脆弱的账户设置。这些配置包括:

  • 不活跃账户 - 账户超过180天未登录或更改密码,可能被标记为不活跃/陈旧 - 已知不活跃的账户应被禁用。
  • 可逆加密 - 在域控制器上实际上是明文存储 - 没有理由设置此选项。
  • 不需要密码 - 账户可能没有关联密码 - 可能由配置系统设置 - 没有理由设置此选项。
  • 密码永不过期 - 密码很可能已陈旧 - 不应在标准用户账户上设置。
  • 启用Kerberos DES加密 - DES是一种较弱的加密方法,可实现更快的密码暴力破解。没有理由设置此选项。
  • 账户不需要Kerberos预认证 - 启用了一种简单的攻击方法来发现账户密码(AS-REP roasting)。可能因应用程序兼容性问题而设置。应始终要求Kerberos预认证。
  • 账户无法更改密码 - 密码可能不会更改。标准用户账户不应设置此选项。

攻击者会寻找这些配置,因此最好定期审查和调整。管理员账户和服务账户需要比标准用户账户更高级别的额外保护。

PowerShell代码(使用Active Directory PowerShell模块): https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次