Active Directory安全提示 #2:Active Directory用户账户
存在几种不同类型的用户账户——至少在使用方式上是这样。包括标准用户账户、服务账户和管理员账户。
有许多用户账户设置可能使其变得脆弱。这些配置包括:
- 闲置账户 - 账户超过180天未登录或更改密码,可能被标记为非活动/陈旧 - 已知非活动的账户应被禁用。
- 可逆加密 - 在域控制器上实际上是明文 - 没有理由设置此选项。
- 不需要密码 - 账户可能没有关联密码 - 可能由配置系统设置 - 没有理由设置此选项。
- 密码永不过期 - 密码很可能很旧 - 不应在标准用户账户上设置。
- 启用Kerberos DES加密 - DES是一种较弱的加密方法,可实现更快的密码暴力破解。没有理由设置此选项。
- 账户不需要Kerberos预认证 - 启用了一种简单的攻击方法来发现账户密码(AS-REProasting)。可能因应用程序兼容性问题而设置。应始终要求Kerberos预认证。
- 账户无法更改密码 - 密码可能不会更改。标准用户账户不应设置此选项。
攻击者会寻找这些配置,因此最好定期审查和调整。管理员账户和服务账户需要比标准用户账户更多的额外保护。
PowerShell代码(使用Active Directory PowerShell模块):
https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
