保护域管理员凭据的 3 种方法

据报道，美国政府有证据表明 2014 年 11 月的索尼黑客攻击是使用被盗的域管理员凭据进行的，虽然在撰写本文时尚未得到官方证实，但可以想象情况可能如此。 Windows 域管理员凭据可能允许攻击者访问域中的所有服务器，尽管还必须注意保护服务器本地管理员帐户，但它们通过限制对单个服务器的访问来提供损害限制元素。

无论是否泄露的管理员凭据最终成为黑客进入索尼系统的方式，大多数组织的 IT 系统中管理员帐户的滥用和扩散都是一种风险，通过遵循一些简单的最佳实践可以显着降低这种风险。

1.隔离域控制器

运行 Windows Active Directory 的服务器称为域控制器 (DC)，它们在物理和逻辑上得到适当的保护至关重要。实现该目标的第一步是确保域控制器不托管 Active Directory 以外的工作负载。例如，域控制器不应兼作业务线应用程序的文件或 SQL 数据库服务器。还值得一提的是，域控制器应该受到物理保护。

从 Windows Server 2012 开始，对虚拟化的支持可以更轻松地确保域控制器不需要托管其他工作负载。域控制器隔离还允许分离管理职责，即不托管 Active Directory 的服务器的定期维护不需要域管理员权限，并且与控制委派一起，DC 隔离可以帮助您管理系统上的更改。

2.控制权委托

特权帐户绝不能用于登录用户工作站，而只能在指定用于管理敏感系统的设备上使用。如果您委派权限，IT 人员不需要域管理员帐户来执行常规任务。首先配置 Active Directory，以便域管理员以外的组能够将计算机加入域，然后设计一个策略将远程桌面访问权限分配给指定组。

使用 Windows Server 中的控制委派向导开始为 IT 员工分配 Active Directory 访问权限，以便他们可以执行日常管理任务，例如用户和组管理。虽然不可能完全消除使用域管理员凭据的需要，但您可以为一组受限用户分配重新启动域控制器、设置事件日志转发和配置 Windows 更新的权利，以最大程度地减少使用域管理凭据的频率是必要的。

3.受保护的用户和身份验证孤岛

Windows Server 2012 及更高版本中的受保护用户组对用户帐户应用限制，旨在降低泄露的可能性，包括阻止旧版 NTLM 身份验证协议、Kerberos 预身份验证中的弱加密进程和 Kerberos 委托。

此外，Windows Server 2012 R2 引入了身份验证策略和孤岛，可用于限制用户可以进行身份验证的设备。例如，您可以创建一个策略和孤岛来阻止域管理员从域控制器以外的任何地方进行身份验证。