检测

特权用户登录限制

high

语言:

描述

用户登录计算机所用的凭据通常会暴露在内存中,恶意软件可以窃取这些凭据以冒充用户。对于有权访问敏感业务数据的特权用户​,他们应只连接安全、可信的计算机,​以最大限度地降低身份盗窃风险。可采取一些技术措施​以强制执行此规则,并通过此风险暴露指标验证其实现情况。

解决方案

为了增加攻击者和恶意软件窃取特权身份及其相关权限的难度,特权用户应只连接到受信任的计算机。使用“分层模型”确定特权用户和受信任的计算机之后,实施技术措施,以便在日常操作中对特权用户强制执行登录限制,即使发生错误也是如此。

另见

用户工作站弃用通知

用户权限:拒绝作为批处理作业登录 (SeDenyBatchLogonRight)

用户权限:拒绝作为服务登录 (SeDenyServiceLogonRight)

用户权限:拒绝本地登录 (SeDenyInteractiveLogonRight)

用户权限:拒绝通过远程桌面服务登录 (SeDenyRemoteInteractiveLogonRight)

用户权限:拒绝从网络访问此计算机 (SeDenyNetworkLogonRight)

选择性身份验证(Windows 2003 推出)描述

选择性身份验证如何影响域控制器行为

允许进行身份验证扩展权限

指标详细信息

名称: 特权用户登录限制

代码名称: C-ADMIN-RESTRICT-AUTH

严重程度: High

MITRE ATT&CK 信息:

策略: TA0004

技术: T1078

攻击者已知工具

Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound

Mimikatz