这个问题参考了@
SwiftOnSecurity的Twitter主题:
https://twitter.com/SwiftOnSecurity/status/655208224572882944
通过线程阅读后,我仍然不明白为什么你想要禁用本地帐户的网络登录.
所以这就是我的想法,请纠正我错在哪里:
假设我设置了一个DC和多个客户端的AD.其中一位客户是约翰.所以在早上,John开始工作,并使用AD凭据登录他的台式PC.中午,约翰出去开会,并“锁定”他的电脑(Windows L).然后他需要远程使用他的个人笔记本电脑(通过RDP或其他东西)连接到他的电脑.但是,使用这项新政策,他将无法这样做.
Securitay给出的解释是密码不受腌制.但是,在这种情况下,攻击者将如何获得访问权限?密码不在哪一端?或者我心中的情况与她想说的完全无关?如果是这样的话,她究竟想说什么呢?
允许本地帐户的网络登录是危险的,并且安全性较差.对于管理员组成员,我实际上将其描述为疏忽.它可以实现横向移动,并且由于帐户登录不会集中记录(在域控制器上),因此难以检测和审核.
为了缓解这种威胁,Microsoft实际上创建了两个新的内置安全标识符,以添加到“拒绝从网络访问此计算机”用户权限:
S-1-5-113: NT AUTHORITY\Local account S-1-5-114: NT AUTHORITY\Local account and member of Administrators group
http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx
http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx