语言:
用户登录计算机所用的凭据通常会暴露在内存中,恶意软件可以窃取这些凭据以冒充用户。对于有权访问敏感业务数据的特权用户,他们应只连接安全、可信的计算机,以最大限度地降低身份盗窃风险。可采取一些技术措施以强制执行此规则,并通过此风险暴露指标验证其实现情况。
为了增加攻击者和恶意软件窃取特权身份及其相关权限的难度,特权用户应只连接到受信任的计算机。使用“分层模型”确定特权用户和受信任的计算机之后,实施技术措施,以便在日常操作中对特权用户强制执行登录限制,即使发生错误也是如此。
用户权限:拒绝作为批处理作业登录 (SeDenyBatchLogonRight)
用户权限:拒绝作为服务登录 (SeDenyServiceLogonRight)
用户权限:拒绝本地登录 (SeDenyInteractiveLogonRight)
用户权限:拒绝通过远程桌面服务登录 (SeDenyRemoteInteractiveLogonRight)
名称: 特权用户登录限制
代码名称: C-ADMIN-RESTRICT-AUTH
严重程度: High
策略: TA0004
技术: T1078
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound