安全性評估:確定未委派特殊許可權帳戶
此建議會列出未啟用「未委派」設定的所有特殊許可權帳戶,並醒目提示可能暴露於委派相關風險的帳戶。 特殊許可權帳戶是屬於特殊許可權群組成員的帳戶,例如網域系統管理員、架構管理員等等。
組織風險
如果已停用敏感性旗標,攻擊者可能會利用 Kerberos 委派來濫用特殊許可權帳戶認證,導致未經授權的存取、橫向移動,以及潛在的全網路安全性缺口。 在具有特殊許可權的使用者帳戶上設定敏感性旗標,可防止使用者取得帳戶的存取權並操作系統設定。
對於裝置帳戶而言,將它們設定為「未委派」很重要,以防止在任何委派案例中使用它,確保無法轉送此電腦上的認證來存取其他服務。
補救步驟
檢閱公開的實體清單,以探索哪些特殊許可權帳戶沒有設定旗標「此帳戶為機密且無法委派」。
對這些帳戶採取適當的動作:
針對用戶帳戶:將帳戶的控制旗標設定為「此帳戶為機密且無法委派」。在 [帳戶] 索引標籤下,選取 [帳戶選項] 區段中此旗標的複選框。 這可防止使用者取得帳戶的存取權,以及操作系統設定。
針對裝置帳戶:
最安全的方法是使用 PowerShell 腳本來設定裝置,以防止它在任何委派案例中使用,確保無法轉送此電腦上的認證來存取其他服務。$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$true另一個選項是在公開裝置的
UserAccountControl[屬性 編輯器] 索引標籤下,將 屬性NOT_DELEGATED = 0x100000設定為 。例如:
