允许将计算机加入到域的用户

medium

描述

默认情况下,任何特权或非特权用户都可以在域中添加计算机,从而在 Active Directory 中创建一个新的计算机帐户。如果这台计算机包含敏感信息,它可能会构成安全风险;添加该计算机的用户可能仍然拥有对它的特权,从而创建后门程序。此外,此功能还可以简化对漏洞 (CVE-2021-42278 / CVE-2021-42287) 的利用。我们建议禁用此功能,并验证使用此功能添加的现有计算机。
sAMAccountName​ 冒充攻击指标可以检测攻击,但无法解决问题。

解决方案

为确保安全性,建议您确认只有经过授权的管理员才能向 Active Directory 域添加计算机。此外,一些现有计算机可能是通过未经授权的方式添加到域。在这种情况下,您不妨考虑重新安装这些计算机,并应用组织的 Windows 主文件。虽然这项工作成本较为高昂,但这些计算机可能带来的安全风险不容忽视,它们可能缺乏适当的安全加固,或包含使域容易受到攻击的隐藏后门程序。

另见

Who can add workstation to the domain

用户可将多少(默认限制数量)工作站加入域

指标详细信息

名称: 允许将计算机加入到域的用户

代码名称: C-USERS-CAN-JOIN-COMPUTERS

严重程度: Medium

MITRE ATT&CK 信息:

策略: TA0002, TA0042

技术: T1585