阻止本地帐户的远程网络访问

时间:2020-01-09 10:46:13  来源:igfitidea点击:

出于许多原因,不建议使用本地帐户(包括本地管理员帐户)通过网络访问Active Directory环境中的另一台计算机。相同的本地管理员登录名和密码通常在许多计算机上使用,如果一台计算机受到威胁(通过哈希威胁),会使许多计算机处于危险之中。此外,使用本地帐户访问网络很难拟人化和集中监控,因为它没有在AD域控制器上注册。

为了减少风险,管理员重命名Windows Administrator的标准本地帐户。在域中的每台计算机上将管理员密码定期更改为唯一的(例如。使用MS Local Administrator Password Solution)可显著提高本地管理员帐户的安全性。但是这个解决方案不能限制所有本地帐户的网络访问,因为一台计算机上可以有多个本地帐户。

我们可以使用“拒绝从网络”策略对此计算机的访问来限制本地帐户的访问。但此策略要求显式列出所有将拒绝访问的帐户。

在Windows 8.1和Windows Server 2012 R2中,出现了两个带有新SID的新安全组(众所周知的组)。这意味着现在不需要列出本地帐户的所有可能的SID,而是使用通用SID。

使用本地帐户登录时,这些组将添加到用户访问令牌中。

确保为本地管理员帐户分配了两个新组-NT AUTHORITY\Local account(SID S-1-5-113)和NT AUTHORITY\Local account and member of Administrators组(SID S-1-5-114)):

Whoami /all

要限制令牌中包含这些SID的本地帐户的网络访问,可以使用 计算机配置->Windows设置->安全设置->本地策略->用户权限分配中的以下策略。

拒绝从网络访问此计算机

拒绝通过远程桌面服务登录

使用gpupdate/force将Local accountLocal account and member of Administrators group添加到策略并更新策略。

系统管理员已限制我们可以使用的登录类型(网络或者交互式)。如需帮助,请与系统管理员或者技术支持联系。

很重要。值得注意的是,如果策略应用于Active Directory域以外的计算机,则只能使用本地控制台访问此计算机。

因此,我们可以拒绝使用本地帐户进行网络访问,而不考虑其名称,并提高公司环境的安全级别。