保护 Window Server 2016 中的凭据

凭证是帐户的密钥。通过获取凭据，攻击者可以进入您的网络、横向移动并提升权限以窃取您的数据。 Windows Server 2022 具有多项功能，可以最大限度地减少攻击者获取凭据的机会。

使用受保护的用户组

将用户（尤其是高权限用户）置于“受保护用户”组中可以帮助您通过禁用安全性较低的身份验证选项来防止其凭据受到泄露。例如，Windows 不会在本地缓存该组成员的凭据，因此它们永远不会留在工作站上供攻击者获取。此外，作为该组成员的用户帐户不能：

• 使用默认凭据委派
• 使用 Windows 摘要
• 使用NTLM
• 使用 Kerberos 长期密钥
• 离线登录
• 使用 NT LAN Manager (NTLM) 进行身份验证
• 使用 DES 进行 Kerberos 预身份验证
• 使用 RC4 密码套件进行 Kerberos 预身份验证
• 使用约束委派来委派权限
• 使用无约束委派来委派权限
• 续订超过初始 240 分钟生命周期的用户票证授予票证 (TGT)

使用帐户首选项

• 用户帐户

对于需要不太严格保护的用户帐户，您可以使用以下安全选项，这些选项适用于任何 AD 帐户：

• 登录时间 - 使您能够指定用户何时可以使用帐户。
• 登录工作站 - 使您能够限制帐户可以登录的计算机。
• 密码永不过期— 使帐户免受“密码最长期限”策略设置的影响；不要为特权帐户配置此选项。
• 交互式登录需要智能卡 - 需要出示智能卡才能登录帐户。
• 帐户敏感且无法委派 - 确保受信任的应用程序无法将帐户的凭据转发到网络上的其他服务或计算机。
• 此帐户支持 Kerberos AES 128 位加密 - 允许 Kerberos AES 128 位加密。
• 此帐户支持 Kerberos AES 256 位加密 - 允许 Kerberos AES 256 位加密。对于特权帐户，请使用此选项。
• 帐户过期 — 使您能够指定帐户的结束日期。

• 电脑账户

除了控制用户帐户之外，您还需要了解和管理计算机和服务帐户的范围。当您首次将计算机加入域时，Windows 在“计算机”容器的 Active Directory 中创建一个计算机帐户，并自动为其分配密码。 AD 管理这些密码并每 30 天自动更新一次。

要管理计算机帐户的权限并控制对其应用哪些组策略，您可以将它们添加到组并将它们移动到不同的 OU。您还可以禁用和重置计算机帐户：

• 禁用计算机帐户意味着计算机无法再连接到域。如果删除计算机帐户并且计算机仍然可以运行，并且希望计算机重新获得域成员身份，则需要将计算机重新加入域。
• 重置计算机帐户会删除计算机与域之间的连接。

• 服务账户

服务帐户是一种特殊类型的帐户，Windows 服务使用它与网络上的操作系统和资源进行交互。 （也可以创建用户帐户并将其配置为作为服务帐户运行，但这并不方便。）

内置服务帐户分为三种类型：

• 本地系统 — NT AUTHORITYSYSTEM 帐户具有与计算机上的本地管理员组相同的权限。
• 本地服务 — NT AUTHORITYLocalService 帐户具有与计算机上的本地用户组相同的权限。
• 网络服务 — NT AUTHORITYNetworkService 帐户具有与计算机上的本地用户组相同的权限。

为了保护这些帐户，请确保系统管理员定期更新其密码。如果您使用本机工具，这是一个手动过程。

• 组托管服务帐户和虚拟帐户

组托管服务帐户是一种特殊类型的服务帐户； AD 会自动更新这些帐户的密码。虚拟帐户是组托管服务帐户的特定于计算机的本地等效帐户。

使用 Windows Defender Credential Guard

Windows Defender Credential Guard 是 Windows 10 和 Windows Server 2022 中的一项新技术，有助于保护凭据免受试图使用恶意软件获取凭据的攻击者的攻击。 Windows Defender Credential Guard 使用基于虚拟化的安全性，允许您隔离机密（例如缓存的凭据），以便只有特权软件才能访问它们。

在基于虚拟化的安全性中，使用凭证或数据的特定进程以及与这些进程关联的内存在与主机操作系统并行但独立的单独操作系统中运行。该虚拟操作系统可保护进程免受任何外部软件试图读取这些进程存储和使用的数据的影响。 Windows Defender Credential Guard 利用硬件安全性，包括安全启动和虚拟化。

您可以使用组策略、Windows Management Instrumentation (WMI) 或 Windows PowerShell 管理 Windows Defender Credential Guard。

Windows Defender Credential Guard 不允许使用：

• 无约束的 Kerberos 委托
• NT LAN 管理器版本 1 (NTLMv1)
• Microsoft 质询握手身份验证协议 (MS-CHAPv2)
• 消化
• 凭证安全支持提供商 (CredSSP)
• Kerberos DES 加密

使用本地管理员密码解决方案

Microsoft 的本地管理员密码解决方案 (LAPS) 为所有内置本地管理员帐户的密码提供了一个安全的中央存储库，并自动对这些密码进行正确管理。特别是，LAPS：

• 确保本地管理员密码在每台计算机上都是唯一的
• 每 30 天自动更改所有本地管理员密码
• 提供可配置的权限来控制对密码的访问
• 以安全、加密的方式将密码传输给客户端

使用 Active Directory 管理中心

Active Directory 管理中心使您能够在 Active Directory 中搜索适合攻击者接管的帐户。特别是，您应该定期查找以下类型的帐户：

• 密码永不过期的用户帐户 - 您应该避免使用固定密码配置帐户，因为它们的安全性低于用户必须定期更新密码的帐户。
• 非活动用户帐户 - 非活动用户帐户通常属于已离开组织的人员。 Active Directory 管理中心控制台使您能够查找在指定天数内未登录的帐户。

删除或禁用这些用户帐户可以防止它们被外部攻击者或恶意内部人员滥用。

概括

如您所见，Windows Server 2022 提供了许多功能来帮助您保护环境中的凭据。您可以使用其中的部分或全部。特别是，利用组托管服务帐户、Windows Defender Credential Guard 和 LAPS 是明智之举，因为它们可以轻松地显着提高 IT 安全性。