附录 D:保护 Active Directory 中内置 Administrator 帐户的安全

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 D:保护 Active Directory 中内置 Administrator 帐户的安全

在 Active Directory 的每个域中,都会在创建域的过程中创建一个 Administrator 帐户。 此帐户默认为域中“域管理员”和“管理员”组的成员。 如果该域为林根域,则此帐户也是“企业管理员”组的成员。

域的 Administrator 帐户应仅供初始生成活动以及可能的灾难恢复方案使用。 为了确保在不能使用其他帐户的情况下可以使用 Administrator 帐户进行修复,不应更改林中任何域中 Administrator 帐户的默认成员。 而是应该按照以下部分所述以及后续分步说明中详述的内容保护林中每个域中的 Administrator 帐户。

注意

本指南过去常常建议禁用该帐户。 由于林恢复白皮书使用默认 Administrator 帐户,因此移除了此内容。 原因是,这是唯一允许在没有全局目录服务器的情况下登录的帐户。

内置 Administrator 帐户的控制

对于林中每个域中的内置 Administrator 帐户,应配置以下设置:

  • 在帐户上启用敏感帐户,不能被委派标志。

  • 在帐户上启用交互式登录必须使用智能卡标志。

  • 配置 GPO 以限制在已加入域的系统上使用 Administrator 帐户:

    • 在创建并链接到每个域中的工作站和成员服务器 OU 的一个或多个 GPO 中,将每个域的 Administrator 帐户添加到计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配中的以下用户权限:

      • 拒绝通过网络访问该计算机

      • 拒绝以批处理作业身份登录

      • 拒绝以服务登录

      • 拒绝通过远程桌面服务登录

注意

将帐户添加到此设置时,必须指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如,若要将 TAILSPINTOYS 域的管理员帐户添加到这些拒绝权限中,则须以 TAILSPINTOYS\Administrator 形式键入该帐户,或浏览到 TAILSPINTOYS 域的管理员帐户。 如果在组策略对象编辑器中的这些用户权限设置中键入“Administrator”,将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户。

建议使用与基于域的 Administrator 帐户相同的方式限制成员服务器和工作站上的本地 Administrator 帐户。 因此,通常应将林中每个域的 Administrator 帐户和本地计算机的 Administrator 帐户添加到这些用户权限设置。 以下屏幕截图中的示例演示如何配置这些用户权限来阻止本地 Administrator 帐户和域的 Administrator 帐户执行这些帐户不需要的登录。

Screenshot that highlights User Rights Assignment.

  • 配置 GPO 以限制在域控制器上使用 Administrator 帐户
    • 在林中的每个域中,应修改默认域控制器 GPO 或链接到域控制器 OU 的策略,以将每个域的 Administrator 帐户添加到计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配中的以下用户权限:

      • 拒绝通过网络访问该计算机

      • 拒绝以批处理作业身份登录

      • 拒绝以服务登录

      • 拒绝通过远程桌面服务登录

注意

这些设置将确保域的内置 Administrator 帐户不能用于连接到域控制器,尽管该帐户可以在本地登录到域控制器。 由于仅应在灾难恢复方案中使用此帐户,因此预计至少有一个域控制器的物理访问权限可用,或者可以使用其他有权远程访问域控制器的帐户。

  • 配置 Administrator 帐户的审核

    当每个域的管理员帐户均安全时,应配置审核以监视帐户的使用情况或更改。 如果帐户已登录、进行了密码重置或对帐户进行了任何其他修改,则除了将警报发送给组织中的事件响应团队外,还应发送给负责管理 Active Directory 的用户或团队。

分步说明:保护 Active Directory 中内置 Administrator 帐户的安全

  1. 服务器管理器中,依次选择工具Active Directory 用户和计算机

  2. 若要防止利用委派在其他系统上使用帐户凭据的攻击,请执行以下步骤:

    1. 右键单击管理员帐户,然后选择属性

    2. 选择帐户选项卡。

    3. 帐户选项下,选择帐户敏感,无法委派标志(如以下屏幕截图所示),然后选择确定

      Screenshot that shows the Account is sensitive and cannot be delegated check box.

  3. 若要在帐户上启用交互式登录必须使用智能卡标记,请执行以下步骤:

    1. 右键单击管理员帐户,然后选择属性

    2. 选择帐户选项卡。

    3. 帐户选项下,选择交互式登录必须使用智能卡标志(如以下屏幕截图所示),然后选择确定

      Screenshot that shows the Smart card is required for interactive login check box.

配置 GPO 以在域级别限制 Administrator 帐户

警告

绝不应在域级别链接此 GPO,因为它会使内置 Administrator 帐户不可用,即使在灾难恢复场景中也是如此。

  1. 服务器管理器中,选择工具,然后选择组策略管理

  2. 在控制台树中,展开 <Forest>\域\<Domain>,然后展开组策略对象(其中 <Forest> 是林的名称,<Domain> 是要在其中创建组策略的域的名称)。

  3. 在控制台树中,右键单击组策略对象,然后选择新建

  4. 新建 GPO对话框中,键入<GPO 名称>,然后选择确定(其中,<GPO 名称>为此 GPO 的名称)。

  5. 在详细信息窗格中,右键单击 <GPO 名称>,然后选择编辑

  6. 导航到计算机配置\策略\Windows 设置\安全设置\本地策略\,然后选择用户权限分配

  7. 通过执行以下步骤配置用户权限,从而防止管理员帐户通过网络来访问成员服务器和工作站:

    1. 双击拒绝通过网络访问该计算机,然后选择定义这些策略设置

    2. 选择添加用户或组,然后选择浏览

    3. 键入管理员,选择检查名称,然后选择确定。 验证帐户是否以 <DomainName>\Username 格式显示,如以下屏幕截图所示。

      Screenshot that shows the DomainName/Username format.

    4. 选择确定,然后再次选择确定

  8. 通过执行以下步骤配置用户权限,从而防止管理员帐户作为批处理作业登录:

    1. 双击拒绝以批处理作业身份登录,然后选择定义这些策略设置

    2. 选择添加用户或组,然后选择浏览

    3. 键入管理员,选择检查名称,然后选择确定。 验证帐户是否以 <DomainName>\Username 格式显示,如以下屏幕截图所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a batch job.

    4. 选择确定,然后再次选择确定

  9. 通过执行以下步骤配置用户权限,从而防止管理员帐户作为服务登录:

    1. 双击拒绝以服务身份登录,然后选择定义这些策略设置

    2. 选择添加用户或组,然后选择浏览

    3. 键入管理员,选择检查名称,然后选择确定。 验证帐户是否以 <DomainName>\Username 格式显示,如以下屏幕截图所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a service.

    4. 选择确定,然后再次选择确定

  10. 通过执行以下步骤配置用户权限,从而防止管理员帐户通过远程桌面服务来访问成员服务器和工作站:

    1. 双击拒绝通过远程桌面服务登录,然后选择定义这些策略设置

    2. 选择添加用户或组,然后选择浏览

    3. 键入管理员,选择检查名称,然后选择确定。 验证帐户是否以 <DomainName>\Username 格式显示,如以下屏幕截图所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the BA account from accessing member servers and workstations via Remote Desktop Services.

    4. 选择确定,然后再次选择确定

  11. 若要退出组策略管理编辑器,请选择文件,然后选择退出

  12. 组策略管理中,通过执行以下步骤将 GPO 链接到成员服务器与工作站 OU:

    1. 导航到“<Forest>”\“域”\“<Domain>”(其中“<Forest>”是林的名称,“<Domain>”是要设置组策略的域的名称)。

    2. 右键单击将应用 GPO 的 OU,然后选择链接现有 GPO

    3. 选择创建的 GPO,然后选择确定

    4. 创建包含工作站的所有其他 OU 的链接。

    5. 创建包含成员服务器的所有其他 OU 的链接。

重要

将 Administrator 帐户添加到这些设置时,可以通过标记帐户的方式指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如,若要将 TAILSPINTOYS 域的 Administrator 帐户添加到这些拒绝权限,请浏览到 TAILSPINTOYS 域的 Administrator 帐户,该帐户显示为 TAILSPINTOYS\Administrator。 如果在组策略对象编辑器中的这些用户权限设置中键入“Administrator”,将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户(如前所述)。

验证步骤

此处概述的验证步骤特定于 Windows 8 和 Windows Server 2012。

验证“交互式登录必须使用智能卡”帐户选项
  1. 在受 GPO 更改影响的任何成员服务器或工作站中,尝试使用域的内置 Administrator 帐户以交互方式登录到域。 尝试登录后可看到一个对话框,其中告知需要智能卡才能登录。
验证“拒绝通过网络访问该计算机”GPO 设置

通过网络尝试从不受 GPO 更改影响的成员服务器或工作站访问受 GPO 更改影响的成员服务器或工作站。 若要验证 GPO 设置,请执行以下步骤,尝试使用 NET USE 命令映射系统驱动器:

  1. 使用域的内置 Administrator 帐户登录到域。

  2. 右键单击开始提示,然后选择 Windows PowerShell (管理员)

  3. 当系统提示批准此提升时,选择

  4. PowerShell 窗口中,键入 net use \\<服务器名称>\c$,其中<服务器名称>为尝试通过网络访问的成员服务器或工作站的名称。

  5. 随即应收到一条消息,其中指出该用户尚未获得请求的登录类型。

验证“拒绝以批处理作业登录”GPO 设置

在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

创建批处理文件
  1. 选择开始提示并键入记事本

  2. 在结果列表中,选择记事本

  3. 记事本中,键入 dir c:

  4. 依次选择文件另存为

  5. 文件名字段中,键入 <Filename>.bat(其中 <Filename> 是新批处理文件的名称)。

计划任务
  1. 选择开始提示,键入任务计划程序,然后选择任务计划程序

  2. 任务计划程序中,选择操作,然后选择创建任务

  3. 创建任务对话框中,键入<任务名称>(其中<任务名称>是新任务的名称)。

  4. 选择操作选项卡,然后选择新建

  5. 操作: 下,选择启动程序

  6. 程序/脚本: 下,选择浏览,找到并选择在“创建批处理文件”部分创建的批处理文件,然后选择打开

  7. 选择“确定”

  8. 选择常规选项卡。

  9. 安全选项下,选择更改用户或组

  10. 在域级别键入管理员帐户的名称,选择检查名称,然后选择确定

  11. 选择运行 (无论用户是否登录)不存储密码。 该任务将只能访问本地计算机资源。

  12. 选择“确定”

  13. 此时应显示一个对话框,请求使用用户帐户凭据运行任务。

  14. 输入凭据后,选择确定

  15. 随即显示一个对话框,其中告知此任务需要一个具有”以批处理作业身份登录“权限的帐户。

验证“拒绝以服务登录”GPO 设置
  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 选择开始提示,键入服务,然后选择服务

  3. 找到并双击打印后台处理程序

  4. 选择登录选项卡。

  5. 登录方式: 下,选择此帐户

  6. 选择浏览,在域级别键入管理员帐户的名称,选择检查名称,然后选择确定

  7. 密码:确认密码: 下,键入管理员帐户的密码,然后选择确定

  8. 再选择三次确定

  9. 右键单击后台打印程序,然后选择重新启动

  10. 重新启动此服务后会显示一个对话框,其中告知无法启动打印后台处理程序服务。

还原对打印机后台处理程序服务所做的更改
  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 选择开始提示,键入服务,然后选择服务

  3. 找到并双击打印后台处理程序

  4. 选择登录选项卡。

  5. 登录身份: 下,选择本地系统,然后选择确定

验证“拒绝通过远程桌面服务登录”GPO 设置
  1. 选择开始,然后键入远程桌面连接,然后选择远程桌面连接

  2. 计算机字段中,键入要连接到的计算机的名称,然后选择连接。 (也可输入 IP 地址而不是计算机名称。)

  3. 出现提示时,在域级别提供 Administrator 帐户名称的凭据。

  4. 远程桌面连接被拒绝。