特权身份验证孤岛配置

high

描述

妥善管理特权帐户(用户和计算机)对于安全性至关重要,有助于限制整个 Active Directory (AD) 环境遭受入侵的风险。在最新版本的 Windows (Windows Server 2012R2+) 中,Microsoft 提供了使用身份验证孤岛和策略充分保护此类帐户的功能及技术设计。 此风险暴露指标旨在协助 AD 管理员实施专门用于保护高特权(即“第 0 层”)帐户的模型。

解决方案

为了提高安全性,以防攻击者和恶意软件盗取特权身份,特权用户只应连接到受信任的计算机。采用“分层模型”设计(尤其注重最高层级,即“第 0 层”)时,请实施身份验证孤岛和策略。这样可确保无法在标准工作站和服务器上访问特权用户的凭据。

另见

Authentication Policies and Authentication Policy Silos

L'administration en silo(法国参考白皮书)

指标详细信息

名称: 特权身份验证孤岛配置

代码名称: C-AUTH-SILO

严重性: High

类型: Active Directory Indicator of Exposure

Family: 特权帐户

MITRE ATT&CK 信息: