我运行了 Purple Knight,查看我们的 Active Directory(两个运行 Windows Server 2019 的 DC)中是否有需要更改的内容。其中一个元素是“已定义 SPN 的特权用户”
此指标查找将 adminCount 属性设置为 1 且在帐户上定义了 ServicePrincipalNames (SPN) 的帐户。一般来说,特权帐户不应在其上定义 SPN,因为这会使它们成为基于 Kerberos 的攻击的目标,这些攻击可以提升这些帐户的权限。
但是,找到的账户不是普通用户,而是计算机。一个是我们的主 DC(以前也运行过 Exchange),另一个是我们的 Exchange 2019 服务器。
我找不到任何信息计算机帐户应该有管理员数量设置,但在大胆地将值从 1 更改为 0,然后去度假两周之前,我想问一下有多少人认为这是一个好主意 ;-)