当前位置: 首页 > news >正文

Active Directory用户账户安全配置与漏洞防范指南

Active Directory安全提示 #2:Active Directory用户账户

存在几种不同类型的用户账户——至少在使用方式上是这样。包括标准用户账户、服务账户和管理员账户。

有许多用户账户设置可能使其变得脆弱。这些配置包括:

  • 闲置账户 - 账户超过180天未登录或更改密码,可能被标记为非活动/陈旧 - 已知非活动的账户应被禁用。
  • 可逆加密 - 在域控制器上实际上是明文 - 没有理由设置此选项。
  • 不需要密码 - 账户可能没有关联密码 - 可能由配置系统设置 - 没有理由设置此选项。
  • 密码永不过期 - 密码很可能很旧 - 不应在标准用户账户上设置。
  • 启用Kerberos DES加密 - DES是一种较弱的加密方法,可实现更快的密码暴力破解。没有理由设置此选项。
  • 账户不需要Kerberos预认证 - 启用了一种简单的攻击方法来发现账户密码(AS-REProasting)。可能因应用程序兼容性问题而设置。应始终要求Kerberos预认证。
  • 账户无法更改密码 - 密码可能不会更改。标准用户账户不应设置此选项。

攻击者会寻找这些配置,因此最好定期审查和调整。管理员账户和服务账户需要比标准用户账户更多的额外保护。

PowerShell代码(使用Active Directory PowerShell模块):
https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=32640

相关文章:

  • 实验一 现代C++编程初体验
  • day013
  • Git SSH 推送完整流程总结
  • 运筹学奖学金项目促进科研多元化发展
  • 非托管内存怎么计算?
  • ubuntu配置镜像源和配置containerd安装源
  • dotnet集合类型性能优化的两个小儿科的知识点
  • ABC420 AtCoder Beginner Contest 420 游记(VP)
  • 【题解】CF2086C Disappearing Permutation
  • Windows 事件ID + 登录类型 + 服务对应表大全
  • 5-互评-OO之接口-DAO模式代码阅读及应用
  • [Paper Reading] VLM2VEC: TRAINING VISION-LANGUAGE MODELS FOR MASSIVE MULTIMODAL EMBEDDING TASKS
  • Index of /ubuntu-cdimage/ubuntukylin/releases/
  • ubuntu安装和设置为图形界面或命令行界面
  • 10.16日学习笔记
  • day 3
  • PWN手的成长之路-18-ciscn_2019_ne_5-rettext
  • 技术人不用当“兼职运营”:2025微信编辑器实用指南,让产品更新日志/API教程产出效率提升3倍
  • 站位1
  • ubuntu2204系统ip地址配置
  • 10.16 —— 2021ccpc桂林D,B
  • day 2
  • 日志分析-windows日志分析base
  • 2025/10/16 模拟赛笔记 - sb
  • 课后作业3
  • KMP和Manacher
  • 10月16日日记
  • 日志|二叉树|404左叶子之和|112路径总和|129求根节点到叶子节点数字之和|
  • 第 5 天:C 语言运算符与表达式 —— 数据处理的优秀的工具集
  • mongoDB体验