私はローカルの管理者権限を安全に付与する最良の方法を調査してきましたが、セキュリティ、運用、およびコストの影響を調整するのに本当に苦労しています。
私はいくつかのオプションを考案しました:
PC Admins
)、必要なドメインユーザーアカウントを追加し、グループポリシーを使用してドメインセキュリティグループをローカルセキュリティグループに追加しますAdministrators
:<original username>.admin
):Administrators
:一般的なベストプラクティスはありますか?
私は仕方がありませんが、正しい技術的な答えは1つもなく、これらのリスクは、誰もが日常的に管理ユーザーアカウントを使用できない、または使用しないことを確実にすることによって軽減されます。または(2)マルウェアを実行します。
ユーザーがNTLMプロトコルを使用してWindowsマシンにログオンすると、ユーザーのハッシュはLSASSプロセスのメモリに保存されます。攻撃者はこのメモリをダンプして、これらの資格情報を盗むことができます。
この問題を克服するための適切な解決策は、管理者にKerberos認証を強制し、プレーンテキストの資格情報を禁止することです。これは、保護されたユーザーと呼ばれるメカニズムで実行できます。
/!\保護されたユーザーのセキュリティグループを作成するにはWindows Server 2012 R2が必要です。保護されたユーザーにクライアント側の制限を提供するには、ホストでWindows 8.1以降を実行する必要があります。
アカウントが保護されたユーザーのメンバーである場合:
ドメインセキュリティグループ(PC管理者)を作成し、必要なドメインユーザーアカウントを追加し、グループポリシーを使用して、ドメインセキュリティグループをローカルセキュリティグループAdministratorsに追加します。
それがまさにあなたがしなければならないことです。 PC管理者グループは、保護されたユーザーグループのメンバーになります。
Microsoft LAPSを展開する
LAPSは、ドメインに参加しているコンピューターのrid 500(ローカル管理者)パスワードを自動的に管理するため、パスワードは次のとおりです。
ただし、local管理者アカウントを使用してコンピューターを管理することはできませんネットワーク経由。 Active Directoryでは、ネットワーク接続が失われた場合に備えて、これらのアカウントをバックアップアカウントと見なす必要があります。したがって、LAPSはニーズに適合しません。
さらに、資格情報の盗難に対して脆弱ですが、横方向の移動攻撃に対しては脆弱です。
TOTPを使用する、または必要に応じて一時的にのみ管理者権限を付与するシステムを実装する
MFAと同じ理由で、資格情報の盗難や横移動攻撃に対して依然として脆弱です。
キャッシュされたドメイン資格情報のセキュリティキャッシュされた資格情報という用語は、Windowsがドメインログオンのログオン情報をキャッシュする方法を正確に説明していません。 Windows 2000以降のバージョンのWindowsでは、ユーザー名とパスワードはキャッシュされません。代わりに、システムはパスワードの暗号化されたベリファイアを保存します。このベリファイアは、2回計算されるソルト付きMD4ハッシュです。二重計算により、ベリファイアはユーザーパスワードのハッシュのハッシュになります。この動作は、Microsoft Windows NT 4.0および以前のバージョンのWindows NTの動作とは異なります。
http://support.Microsoft.com/kb/913485
ただし、ローカル管理者アカウントを管理する方法が必要です。それらを無効にするか、LAPSを使用できます。すべてのコンピューターで同じローカル管理者パスワードを使用すると、資格情報の盗難や横移動攻撃に対して脆弱になります。
私の見解では、ドメインユーザーにはローカル管理者特権は必要ありません。 ITスタッフは、ローカルの管理者グループに属する特別なアカウントを持っている必要があります。ローカル管理者アカウントは、異なるパスワードを持っている必要があります。