駭客一但入侵單位內某一部主機後,通常就會利用Windows網路芳鄰特性入侵其它主機,而常用的帳號不外乎是本機管理員帳號或網域管理員帳號,因為這些帳號權限最大,因此適當限制管理員帳號活動之範圍為抑制內網感染之必要手段。
"Administrators"群組成員已經包含了所有管理員帳號,如"Administrator"、"Domain Admins"與"Enterprise Admins",因此只要能限制"Administrators"群組就等同於限制所有管理員帳號。
群組原則修改
可經由群組原則對單位內主機派送規則,該範例以AD為例,若要套用於使用者電腦請選擇對應之群組。
Active Directory使用者及電腦 -> Domain Controllers-> 滑鼠右鍵 -> 內容。
群組原則-> Default Domain Controllers Policy -> 編輯。
電腦設定-> Windows設定 -> 安全性設定 -> 本機原則 -> 使用者權利指派。
將Administrators加入拒絕從網路存取這台電腦中。
這裡說明一下這個原則只要Administrators這個群組,是透過網路存取的方式,一律會被這台AD Server給拒絕掉,包含UNC存取、驗證或將新的機器加入網域。
所以Windows AD 系統管理者應該具備如同管理 Linux 主機時同樣的作業系統安全性觀念,也就是要先建立一般使用者帳號來登入系統進行操作,待需要執行的動作需要提升至管理者權限時,才著手轉換將權限提升。
於命令提示字元CMD中執行兩次gpupdate /force使得修改之群組原則馬上生效。
佈署考量(重要)
設定後Administrators將無法經由網路存取AD,是否會造成某些系統無法正常運作則需要進行測試,通常遭到影響之系統為備份系統、資產管理系統與認證系統等。
除了拒絕從網路存取這台電腦外,還有拒絕以批次工作登入、拒絕以服務方式登入與 拒絕透過終端機服務登入等,同樣可以考量進行設定,但前提仍然是不影響正常服務運作。
實際測試存取
以上做法雖然較為安全,但一點點的安全換來系統管理者使用上有很大的不便,就要各為自己去衡量了,強烈建議實作前先備份,如果發生AD服務異常時,還可以將資料倒回,或是把剛剛設定GPO的值給還原,如還是有問題可以查看AD的本機群組原則是否也有被寫入。
沒有留言:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!