为什么要禁用本地帐户的网络登录？

Question 1

允许本地帐户进行网络登录是危险的，也是不安全的做法。对于管理员组成员，我实际上会将其描述为疏忽。它允许横向移动，并且由于帐户登录没有集中记录（在域控制器上），因此很难检测和审核。

为了减轻这种威胁，微软实际上创建了两个新的内置安全标识符以添加到“拒绝从网络访问此计算机”用户权限中：

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

Answer

允许本地帐户进行网络登录是危险的，也是不安全的做法。对于管理员组成员，我实际上会将其描述为疏忽。它允许横向移动，并且由于帐户登录没有集中记录（在域控制器上），因此很难检测和审核。

为了减轻这种威胁，微软实际上创建了两个新的内置安全标识符以添加到“拒绝从网络访问此计算机”用户权限中：

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

Question 2

不，您的示例场景不正确。如果他使用 AD 凭据登录，则一切正常。问题出在本地帐户上，即在单个计算机上创建且仅存在于单个计算机上的帐户。例如，.\Administrator，但这适用于计算机域 (COMPUTERNAME\USERNAME) 中的任何帐户。AIUI 的安全风险是，如果本地帐户（例如本地管理员）在多台计算机上共享相同的密码，则有可能从计算机中提取密码哈希，并在某些情况下重复使用这些哈希（作为恶意软件感染或其他攻击者）在计算机之间横向移动。

Answer

不，您的示例场景不正确。如果他使用 AD 凭据登录，则一切正常。问题出在本地帐户上，即在单个计算机上创建且仅存在于单个计算机上的帐户。例如，.\Administrator，但这适用于计算机域 (COMPUTERNAME\USERNAME) 中的任何帐户。AIUI 的安全风险是，如果本地帐户（例如本地管理员）在多台计算机上共享相同的密码，则有可能从计算机中提取密码哈希，并在某些情况下重复使用这些哈希（作为恶意软件感染或其他攻击者）在计算机之间横向移动。

为什么要禁用本地帐户的网络登录？

答案1

答案2

相关内容