我先解释一下我的情况,然后再开始提问。
我的公司一直面临随机但周期性的锁定,涉及大量(如果不是全部)帐户。我的团队一直怀疑有某种恶意软件和/或黑客工具从 AD 域控制器中拉取所有用户帐户,并试图对这些帐户进行暴力破解。
我们是目前正在监控所有锁定事件,试图缩小肇事者的来源范围。
然而,在我们真正找到并起诉肇事者之前,有些活动确实需要不间断的访问,不受帐户锁定的影响。我们把这些帐户称为overseers。
我想到的解决这个困境的方法是:
- 创建一个临时域。我们将其称为
d2.company.com(D-2),而原始受影响的域称为d1.domain.com(D-1) - 有 D-1相信D-2,但反之则不然(即 D-2 不信任 D-1)
- 在 D-2 中创建一些帐户,然后不知何故
overseers授予他们与D-1 中的账户相同的权限。[1]
现在,我的问题是:
A) 这个策略会有效吗?
B) 恶意程序/恶意软件是否能够暴力破解 D-2 帐户?
C) 我需要关注哪些问题/陷阱?
TIA 感谢您的帮助。
[1] 是的,很可能我必须创建“通用”组并将其添加到所有相关的域本地组,但这是一个我非常愿意做的繁琐工作。
答案1
嗯,当然,现在最紧急的事情是立即将恶意软件和/或黑客从您的网络中清除出去,但您已经知道这一点了。
每次遇到恶意软件或黑客时就创建一个新域并撤离到该域根本毫无意义。当他们开始攻击 D2 时,您会怎么做?创建 D3?然后是 D4 和 D5?
但要回答您的问题,如果您需要为域中的特定帐户或帐户组授予锁定豁免权,那么您可以创建细粒度密码策略(密码设置对象)并将其应用于该用户或组。
http://technet.microsoft.com/en-us/library/cc770842(v=WS.10).aspx
这需要域功能级别 2008 或更高。