active-directory – Windows域帐户遭到入侵后的下一步是什么?
我们正在准备一个场景,其中一个域中的一个帐户遭到入侵 – 下一步该做什么? 禁用该帐户将是我的第一个回答,但几周前我们在这里有一个问卷,他们可以使用几个月前离开的管理员用户的哈希登录. 到目前为止我们的两个答案是: >删除帐户并重新创建(创建新的SID,但也为用户创建更多的戏剧并为我们工作) 你的方法是什么,或者你会推荐什么? 如果只有标准用户帐户遭到入侵,那么更改密码一次并启用帐户应该没问题.密码更改后,哈希将不起作用.如果帐户被禁用,它也将无效.作为一名笔测试员,我想知道笔测试者是否使用了Kerberos门票.在某些情况下,如果更改密码,或者帐户被禁用或甚至删除,这些都可以继续工作(请参阅缓解链接).如果域管理员帐户遭到入侵,那么它实际上是游戏结束.您需要使您的域脱机,并更改每个密码.此外,krbtgt帐户密码需要更改两次,否则攻击者仍然可以使用他们窃取的信息发出有效的Kerberos票证.完成所有操作后,您可以将域名重新联机. 实施帐户锁定策略,以便无法猜出更改的密码.不要重命名您的帐户.攻击者可以轻松找到登录名. 另一个重点是培训您的用户.他们可能做了一些不明智的事情,这意味着帐户受到了损害.攻击者可能甚至不知道密码,他们可能只是以该帐户运行进程.例如,如果您打开的恶意软件附件可让攻击者访问您的计算机,则它们将作为您的帐户运行.他们不知道您的密码.除非您是管理员,否则他们无法获取您的密码哈希值.不要让用户在其工作站上以本地管理员身份运行.不要让域管理员登录到具有域管理员权限的工作站 – 永远! 进一步信息/缓解的链接: https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/ http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134 (编辑:站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Win10预览版用户收到Win11提升提示 Win11已进入Release Pre
- Linux系统这11个发行版,你认识多少个?
- windows-server-2012-r2 – 禁用TLS 1.2停止RST数据包
- windows-server-2008 – 在服务器2008 R2中,如果我以管理员
- exchange – 从服务器发送电子邮件而不创建新的Office 365用
- 效力微软15年的前员工解释Windows 10为什么问题如此多
- (一个Windows人员问)在Linux上测量磁盘延迟:我是否烦心?
- 比尔盖茨罕见评价华为 获余承东转发
- windows-server-2003 – 当访问被拒绝且安全选项卡丢失时,如
- Windows 10用户需要进行的6个简单的安全更改