為什麼要禁用本地帳戶的網路登錄？

這個問題參考了@SwiftOnSecurity 的 Twitter 執行緒：https ://twitter.com/SwiftOnSecurity/status/655208224572882944

通讀該主題後，我仍然不太明白您為什麼要禁用本地帳戶的網路登錄。

所以這就是我的想法，請糾正我的錯誤：

假設我有一個帶有 DC 和多個客戶端的 AD。其中一位客戶是約翰。因此，在早上，John 開始工作，並使用 AD 憑據登錄到他的台式 PC。中午，John 出去開會，並“鎖定”了他的電腦（windows + L）。然後，他需要使用他的個人筆記型電腦遠端（通過 RDP 或其他方式）連接到辦公室的 PC。但是，使用這項新政策，他將無法這樣做。

Securitay 給出的解釋是密碼沒有加鹽。但是，在這種情況下，攻擊者如何獲得訪問權限？密碼在哪一端沒有加鹽？還是我腦海中的情況與她想說的完全無關？如果是這樣的話，她到底想說什麼？

允許本地帳戶進行網路登錄是危險的，也是一種糟糕的安全做法。對於管理員組成員，我實際上將其描述為疏忽。它支持橫向移動，並且由於帳戶登錄未集中記錄（在域控制器上）而難以檢測和審核。

為了減輕這種威脅，微軟實際上創建了兩個新的內置安全標識符來添加到“拒絕從網路訪問這台電腦”使用者權限：

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group  

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

引用自：https://serverfault.com/questions/729673