отключить кэширование учетных данных администраторов домена

4489
crysman

Машины в домене AD по умолчанию кэшируют учетные данные пользователя домена, и мне нравится это поведение не только потому, что оно особенно полезно в случае ноутбуков. Количество последних входов в систему для кэширования может быть легко изменено с помощью объекта групповой политики.

НО, вот в чем дело. Я ищу способ запретить кэширование пароля администраторов домена на любом компьютере в сети. Причина, по которой я хочу, это вредоносное ПО - мы не хотим, чтобы весь домен был взломан только из-за одной зараженной машины, верно ?!

Вопрос 1:

Как правильно отключить кэширование учетных данных только для пользователей с правами администратора домена (и разрешить его включение для обычных «прошедших проверку пользователей») в объекте групповой политики ?

Я считаю, что это должно быть достигнуто путем установки Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available)в0

Но я не понял, как успешно применять его только для администраторов домена :(

-

Вопрос 2:

Кроме того ... Я знаю, что мне нужно установить политики паролей / учетных данных в ветви объекта групповой политики "Политика домена по умолчанию" только для того, чтобы фактически позволить им быть активными / выполненными? Но ... Это единственное исключение? Какие политики должны иметь это исключение? Это целая ветка "Настройки безопасности"? Или только некоторые из его подразделений? Или что-то другое? Как это указано в консоли управления групповой политикой?

Использование Windows Server 2012R2

3
Ответ на ваш вопрос № 2 находится [здесь] (http://serverfault.com/a/345975/205065). Twisty Impersonator 7 лет назад 1

1 ответ на вопрос

2
Ben N

Если функциональный уровень вашего домена - Windows Server 2012 R2 или выше, а ваши клиентские машины - Windows 8.1 или новее, вы можете предоставить отдельным пользователям дополнительную защиту, добавив их в группу защищенных пользователей .

Члены группы защищенных пользователей, которые проходят проверку подлинности в домене Windows Server 2012 R2, больше не могут выполнять проверку подлинности с помощью:

  • ...
  • Войти в автономном режиме. Кэшированный верификатор не создается при входе в систему.

Внимание! Убедитесь, что не все привилегированные учетные записи являются членами Защищенных пользователей, прежде чем вы закончите тестировать изменения. Возможно заблокировать себя при некоторых обстоятельствах ( дальнейшее чтение ).

В ответ на ваш второй вопрос: политики, которые должны применяться к контроллерам домена, влияют на базу данных учетных записей и проверку подлинности. Например, политики паролей должны применяться на контроллере домена, потому что не имеет смысла для одной рабочей станции управлять учетными данными для учетной записи домена. Ответ о сбое сервера, связанный Twisty в комментариях, полезен.

Я только что попробовал это, так как идея мне очень нравится, НО ... ** это запрещает мне подключаться через RDP ** (удаленный рабочий стол): / говоря `ограничение учетной записи пользователя (например, время ограничение дня) мешает вам войти в систему. К сожалению, я хотел бы сохранить возможность удаленного доступа. Любые другие решения? crysman 7 лет назад 0
@crysman Ах, это проблема. Вы входите в RDP с присоединенной к домену рабочей станции? Я также нашел [другую статью] (https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/manage/how-to-configure-protected-accounts), которые могут иметь отношение , Ben N 7 лет назад 0
Да, я пробовал это с ПК, подключенного к домену. Спасибо за статью, она может хорошо послужить для дополнительной настройки безопасности. В RDP ничего нет, хотя: / crysman 7 лет назад 0
Я собирался ответить «нет», потому что GP с кэшированными учетными данными - это Конфигурация компьютера, поэтому вы не можете применить ее к группам пользователей, но я приятно удивлен, что эта функция уже существует! Еще одна вещь, которую вы можете рассмотреть @crysman - это решение для локального пароля администратора, которое позволяет применять автоматическое изменение пароля к учетной записи локального администратора на компьютерах, сохраняя пароли в объектах AD. Использование Защищенных пользователей для администраторов домена, а затем использование LAPS приведет к прилично защищенной настройке привилегированной учетной записи. music2myear 7 лет назад 1

Похожие вопросы