Active Directory用户账户安全配置与漏洞防范指南

Active Directory安全提示 #2：Active Directory用户账户

存在几种不同类型的用户账户——至少在使用方式上是这样。包括标准用户账户、服务账户和管理员账户。

有许多用户账户设置可能使其变得脆弱。这些配置包括：

• 闲置账户 - 账户超过180天未登录或更改密码，可能被标记为非活动/陈旧 - 已知非活动的账户应被禁用。
• 可逆加密 - 在域控制器上实际上是明文 - 没有理由设置此选项。
• 不需要密码 - 账户可能没有关联密码 - 可能由配置系统设置 - 没有理由设置此选项。
• 密码永不过期 - 密码很可能很旧 - 不应在标准用户账户上设置。
• 启用Kerberos DES加密 - DES是一种较弱的加密方法，可实现更快的密码暴力破解。没有理由设置此选项。
• 账户不需要Kerberos预认证 - 启用了一种简单的攻击方法来发现账户密码（AS-REProasting）。可能因应用程序兼容性问题而设置。应始终要求Kerberos预认证。
• 账户无法更改密码 - 密码可能不会更改。标准用户账户不应设置此选项。

攻击者会寻找这些配置，因此最好定期审查和调整。管理员账户和服务账户需要比标准用户账户更多的额外保护。

PowerShell代码（使用Active Directory PowerShell模块）：

https://github.com/PyroTek3/Misc/blob/main/Get-VulnerableUserAccounts.ps1