了解更多關於non-domain controllers with domain admin sign-ins以及如何減輕這種類型的身份相關風險。
網域管理員應僅登入網域控制站,並在非網域控制站裝置上使用權限較低的使用者帳號進行日常活動。當網域管理員登入非網域控制站裝置時,管理員的憑證會變得容易受到惡意行為者的攻擊,這些攻擊者可能會通過各種策略提取憑證,包括:
-
Credential theft in memory (Pass-the-Hash):攻擊者可以利用技術從裝置的記憶體中提取域管理員的憑證,從而未經授權訪問域內的其他系統。
-
Credential sniffing:攻擊者可以攔截網路流量並捕獲純文字或雜湊的憑證,包括域管理員的憑證,這將使不法分子能夠訪問敏感帳戶。
-
Man-in-the-Middle attacks:攻擊者可以秘密攔截並可能更改雙方之間的通訊。如果網域管理員使用未加密的通訊協定進行登入,攻擊者可以攔截並操縱驗證過程以獲取憑證。
為了減少網域管理員登入非網域控制站設備的風險,趨勢科技 建議:
-
重新啟動裝置以清除記憶體,這通常會刪除存儲在記憶體中的任何憑證。
-
立即重設受影響的網域管理員帳戶密碼,使任何可能被洩露的憑證失效,並確保後續的登入嘗試需要使用新生成的密碼。
-
為受影響的網域管理員帳戶啟用多因素驗證 (MFA),以增加另一層安全性。
-
審查並限制網域管理員帳戶的權限至角色所需的最低限度。避免分配不必要的特權,特別是在非網域控制站設備上。