Active Directory用户账户类型

Active Directory中存在多种用户账户类型，根据使用方式主要分为标准用户账户、服务账户和管理账户。

易受攻击的账户配置

以下配置可能导致用户账户存在安全风险：

• 非活跃账户：超过180天未登录或修改密码的账户应标记为非活跃/陈旧账户。已知的非活跃账户必须禁用。
• 可逆加密：在域控制器上等效于明文存储，无任何理由启用该设置。
• 无需密码：账户可能未设置密码（可能由配置系统设置），此设置不应启用。
• 密码永不过期：密码极易陈旧，标准用户账户不应启用此设置。
• 启用Kerberos DES加密：DES属于弱加密算法，会加速密码暴力破解，不应启用。
• 无需Kerberos预认证：可通过AS-REProasting攻击轻松获取账户密码。可能因应用程序兼容性而设置，但应始终要求Kerberos预认证。
• 账户无法修改密码：可能导致密码长期不变，标准用户账户不应启用此设置。

攻击者会重点扫描上述配置，建议定期审查并调整。管理账户和服务账户需采取比标准用户账户更高级别的保护措施。

PowerShell检测脚本

使用Active Directory PowerShell模块的检测代码： https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1