Windows

為什麼要禁用本地帳戶的網路登錄?

  • October 21, 2015

這個問題參考了@SwiftOnSecurity 的 Twitter 執行緒:https ://twitter.com/SwiftOnSecurity/status/655208224572882944

通讀該主題後,我仍然不太明白您為什麼要禁用本地帳戶的網路登錄。

所以這就是我的想法,請糾正我的錯誤:

假設我有一個帶有 DC 和多個客戶端的 AD。其中一位客戶是約翰。因此,在早上,John 開始工作,並使用 AD 憑據登錄到他的台式 PC。中午,John 出去開會,並“鎖定”了他的電腦(windows + L)。然後,他需要使用他的個人筆記型電腦遠端(通過 RDP 或其他方式)連接到辦公室的 PC。但是,使用這項新政策,他將無法這樣做。

Securitay 給出的解釋是密碼沒有加鹽。但是,在這種情況下,攻擊者如何獲得訪問權限?密碼在哪一端沒有加鹽?還是我腦海中的情況與她想說的完全無關?如果是這樣的話,她到底想說什麼?

允許本地帳戶進行網路登錄是危險的,也是一種糟糕的安全做法。對於管理員組成員,我實際上將其描述為疏忽。它支持橫向移動,並且由於帳戶登錄未集中記錄(在域控制器上)而難以檢測和審核。

為了減輕這種威脅,微軟實際上創建了兩個新的內置安全標識符來添加到“拒絕從網路訪問這台電腦”使用者權限:

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group  

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

引用自:https://serverfault.com/questions/729673