我一直在阅读 MS 关于缓解 PtH 的建议,他们的第一个也是主要的建议是为工作站管理员、服务器管理员和域控制器管理员设置单独的帐户。
我的团队由 1 名真正的 IT 人员和一名老板组成,我的老板在技术上是 IT 人员,但对 IT 一无所知,另外还有 1 名可以重置 AD 用户密码的人。现在,我和我的老板是域管理员,每天都使用这些凭据登录。执行密码重置的人是具有本地管理员权限(因此她可以打开 RSAT)的标准用户,她拥有密码重置的委派权限。
所以让我说清楚,在理想情况下... 1) 我和我的老板应该有 4 个独立帐户?!1 个标准帐户、1 个工作站管理员帐户、1 个服务器管理员帐户和 1 个域管理员帐户。2) 密码管理员应该有 2 个帐户,1 个密码管理员帐户和 1 个标准用户帐户?3) 我们应该将登录限制到具有该角色的机器,因此服务器管理员帐户只能登录到文件服务器/应用服务器,而域管理员帐户只能登录到域控制器?
因此,除非我不知何故需要记住 4 个单独的 AD 帐户密码,否则我需要多少个工作站来完成我的工作?如果我应该使用标准用户帐户登录到我的主工作站来执行诸如阅读电子邮件之类的操作,那么我应该如何添加新用户或更改组策略?我的 DC 是服务器核心安装,我通过本地工作站上的 RSAT 管理事物,但现在我应该通过 RDP 连接到跳转服务器,然后通过它管理用户吗?密码管理员怎么办?她是否应该对完全不同的工作站执行相同操作来重置密码?关于更改文件夹权限,我可以使用服务器帐户权限通过 RDP 连接到文件服务器,而无需暴露服务器管理员凭据吗?
我可以告诉你,如果它需要所有的 PS 管理,我实际上不会太介意,但我的老板永远不会弄清楚。我很想听到一个雄辩的解决方案,或者有人告诉我我想得太多了。请帮帮我...
答案1
您的密码哈希通常会在您登录或 RDP 时留下。因此,如果您在工作站上使用管理员帐户,则您的密码哈希会留在那里。同样,当您通过 RDP 连接到服务器(较新的操作系统除外)时,您的哈希也会留在那里。此问题在 Windows 10 操作系统代码库(Server 2016)中得到缓解。您应该拥有一个管理服务器,并且不要使用提升的域权限登录到您的工作站。您不想使用提升的权限或从您经常提升或使用提升的权限登录的工作站使用电子邮件或浏览网页。
您可以通过 RDP 连接到管理服务器,然后从那里进行管理。如果您使用 PowerShell 连接到远程系统,则不会留下哈希值。如果您使用智能卡,则可以翻转 smartcardrequired 位两次以使当前密码哈希值无效。
您还可以考虑使用 LAPS 在 Windows 工作站上设置随机系统维护密码。LAPS 是 Microsoft 的免费产品。这可以防止单个工作站被攻陷导致所有工作站瘫痪的问题,如果您使用机器的本地管理员密码连接,任何攻陷都会受到限制。使用本地管理员密码的缺点是审核,您可能需要通过 GPO 启用它。