在 Windows Server 2016中, Microsoft引入了幾個與帳戶安全性相關的重要新功能以強化身分驗證安全性, 這些新功能包括受保護的使用者(Protected Users)、身分驗證原則(Authentication Policies) 和身分驗證原則定址接收器(Authentication Policy Silos):
1. 受保護的使用者(Protected Users)
受保護的使用者是一個安全性群組(Security Group), 目的是提升高風險帳號的安全性, 避免常見攻擊手法如 Pass-the-Hash或 Pass-the-Ticket
特點與限制:
。無法使用 NTLM、Digest、CredSSP等較舊或不安全的驗證協定
。Kerberos ticket的有效期限縮短(例如 TGT僅 4小時, 不能自動續期)
。禁止憑證快取(Credential Caching), 強制每次驗證時都需聯絡 DC
。不可進行委派w-studio.idv.tw
用途:
建議用於高權限帳號, 如 Domain Admins、Enterprise Admins或其他關鍵服務帳號
這是一種新的安全控制功能, 可以對使用者帳戶或電腦帳戶套用限制性驗證條件, 例如哪些主機可以進行驗證、哪些時間可以驗證等
主要控制項包括:
。限制某個帳戶只能從指定的主機登入(例如僅能從 Jump Server登入)
。設定帳戶的 Kerberos Ticket的最大有效時間(比受保護的使用者更細緻)
。設定帳戶登入的時段(時段限制)
用途:
對高風險帳戶設定更精細的驗證限制, 防止帳號被濫用, 例如管理員帳號僅能從指定的伺服器登入、僅允許在上班時間使用
3. 身分驗證原則定址接收器(Authentication Policy Silos)
這是一種用來組織與套用身分驗證原則的容器, 讓你可以將帳號(使用者、電腦、服務帳號)群組起來, 並集中套用一組統一的驗證政策
功能:
。將帳戶分類至同一 silo(例如: 管理員 silo、服務帳號 silo)
。每個 silo可以套用不同的身分驗證原則
。支援防止帳號被在非預期主機上使用(例如: 禁止某個帳號被用在非授權伺服器上)
用途:
與受保護的使用者和驗證原則搭配使用, 達到更高層級的帳號隔離與控制, 例如只允許某些管理員帳戶從管理員工作站登入, 並套用更嚴格的限制
沒有留言:
張貼留言