附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶

適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶

在 Active Directory 中的每個網域中,系統會建立系統管理員帳戶作為建立網域的一部分。 此帳戶預設為網域中的 Domain Admins 和 Administrators 群組成員,如果網域是樹系根域,帳戶也是Enterprise Admins 群組的成員。

使用網域的系統管理員帳戶應該只保留給初始建置活動,也可能是災害復原案例。 若要確保系統管理員帳戶可用來在無法使用其他帳戶的情況下生效修復,您不應該變更樹系中任何網域中系統管理員帳戶的預設成員資格。 相反地,您應該保護樹系中每個網域中的系統管理員帳戶,如下一節所述,並詳述于後續逐步指示中。

注意

本指南用來建議停用帳戶。 這已移除,因為樹系復原白皮書會使用預設系統管理員帳戶。 原因是,這是唯一允許在沒有通用類別目錄伺服器的情況下登入的帳戶。

內建系統管理員帳戶的控制項

針對樹系中每個網域中的內建系統管理員帳戶,您應該設定下列設定:

  • 啟用 帳戶是敏感性的,而且無法在 帳戶上委派旗標。

  • 在帳戶上啟用 互動式登入旗標需要智慧卡

  • 設定 GPO 以限制系統管理員帳戶在已加入網域的系統上使用:

    • 在您建立和連結至每個網域中工作站和成員伺服器 OU 的一或多個 GPO 中,將每個網域的系統管理員帳戶新增至電腦設定\原則\Windows 設定\Security 設定\本機原則\使用者權限指派中的下列使用者權限:

      • 拒絕從網路存取這部電腦

      • 拒絕以批次工作登入

      • 拒絕以服務方式登入

      • 拒絕透過遠端桌面服務登入

注意

當您將帳戶新增至此設定時,您必須指定您要設定本機系統管理員帳戶或網域系統管理員帳戶。 例如,若要將 NWTOS 網域的系統管理員帳戶新增至這些拒絕許可權,您必須將帳戶輸入為 NWTOS\Administrator,或流覽至 NWMTS 網域的系統管理員帳戶。 如果您在 [群組原則物件編輯器] 的這些使用者權限設定中輸入 「系統管理員」,則會限制套用 GPO 之每部電腦上的本機系統管理員帳戶。

建議您以與網域型系統管理員帳戶相同的方式,限制成員伺服器和工作站上的本機系統管理員帳戶。 因此,您通常應該將樹系中每個網域的系統管理員帳戶,以及本機電腦的系統管理員帳戶新增至這些使用者權限設定。 下列螢幕擷取畫面顯示設定這些使用者權限來封鎖本機系統管理員帳戶和網域的系統管理員帳戶執行這些帳戶不需要的登入範例。

Screenshot that highlights User Rights Assignment.

  • 設定 GPO 以限制網域控制站上的系統管理員帳戶
    • 在樹系中的每個網域中,應該修改連結至網域控制站 OU 的預設網域控制站 GPO 或原則,將每個網域的系統管理員帳戶新增至電腦設定\原則\Windows 設定\Security 設定\本機原則\使用者權限指派
      • 拒絕從網路存取這部電腦

      • 拒絕以批次工作登入

      • 拒絕以服務方式登入

      • 拒絕透過遠端桌面服務登入

注意

這些設定可確保網域的內建系統管理員帳戶無法用來連線到網域控制站,雖然帳戶可以在本機登入網域控制站。 因為此帳戶應該只用于災害復原案例中,所以預期可以使用至少一個網域控制站的實體存取,或是可以使用具有遠端存取網域控制站許可權的其他帳戶。

  • 設定系統管理員帳戶的稽核

    當您已保護每個網域的系統管理員帳戶時,應該設定稽核來監視帳戶的使用狀況或帳戶的變更。 如果帳戶已登入、其密碼已重設,或對帳戶進行任何其他修改,除了貴組織中的事件回應小組之外,應該將警示傳送給負責管理 Active Directory 的使用者或小組。

保護 Active Directory 中內建系統管理員帳戶的逐步指示

  1. 伺服器管理員中,按一下 [工具],然後按一下[Active Directory 消費者和電腦]。

  2. 若要防止利用委派在其他系統上使用帳號憑證的攻擊,請執行下列步驟:

    1. 以滑鼠右鍵按一下 [系統管理員 帳戶],然後按一下 [ 內容]。

    2. 按一下 [帳戶] 索引標籤。

    3. [帳戶選項] 底下,選取 [ 帳戶是敏感性的,且無法委派 旗標],如下列螢幕擷取畫面所示,然後按一下 [ 確定]。

      Screenshot that shows the Account is sensitive and cannot be delegated check box.

  3. 若要啟用智慧卡才能在帳戶上啟用 互動式登入 旗標,請執行下列步驟:

    1. 以滑鼠右鍵按一下 [系統管理員 帳戶],然後選取 [ 內容]。

    2. 按一下 [帳戶] 索引標籤。

    3. [帳戶 選項] 底下,選取 [互動式登入旗標需要智慧卡] ,如下列螢幕擷取畫面所示,然後按一下 [ 確定]。

      Screenshot that shows the Smart card is required for interactive login check box.

設定 GPO 以限制Domain-Level的系統管理員帳戶

警告

此 GPO 不應在網域層級連結,因為它可以讓內建的系統管理員帳戶無法使用,即使在災害復原案例中也是如此。

  1. 伺服器管理員中,按一下 [工具],然後按一下[群組原則管理]。

  2. 在主控台樹中,展開 < [樹 > 系\網域\ < 網域 > ],然後群組原則 [物件] (其中 <> Forest 是樹系的名稱,而 < [網域 > ] 是您要建立群組原則) 的網功能變數名稱稱。

  3. 在主控台樹中,以滑鼠按右鍵 [群組原則 物件],然後按一下 [新增]。

    Screenshot that shows Group Policy Objects in the console tree.

  4. 在 [ 新增 GPO ] 對話方塊中,輸入 < GPO 名稱 > ,然後按一下 [ 確定 ] (其中 < GPO 名稱 > 是此 GPO 的名稱) ,如下列螢幕擷取畫面所示。

    Screenshot that shows the New GPO dialog box.

  5. 在詳細資料窗格中,以滑鼠右鍵按一下 < [GPO 名稱 > ],然後按一下 [ 編輯]。

  6. 流覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下 [使用者權限指派]。

    Screenshot that shows the Group Policy Management Editor.

  7. 設定使用者權限,以防止系統管理員帳戶透過網路存取成員伺服器和工作站,方法是執行下列動作:

    1. 按兩下 [拒絕從網路存取這部電腦 ],然後選取 [ 定義這些原則設定]。

    2. 按一下 [新增使用者或群組 ],然後按一下 [ 流覽]。

    3. 輸入 系統管理員,按一下 [檢查名稱],然後按一下 [ 確定]。 確認帳戶是以 < DomainName > \Username 格式顯示,如下列螢幕擷取畫面所示。

      Screenshot that shows the DomainName/Username format.

    4. 按一下 [確定],然後再按一下 [ 確定 ]。

  8. 設定使用者權限,以防止系統管理員帳戶以批次作業身分登入,方法是執行下列動作:

    1. 按兩下 [拒絕以批次作業 登入],然後選取 [ 定義這些原則設定]。

    2. 按一下 [新增使用者或群組 ],然後按一下 [ 流覽]。

    3. 輸入 系統管理員,按一下 [檢查名稱],然後按一下 [ 確定]。 確認帳戶是以 < DomainName > \Username 格式顯示,如下列螢幕擷取畫面所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a batch job.

    4. 按一下 [確定],然後再按一下 [ 確定 ]。

  9. 設定使用者權限,以防止系統管理員帳戶以服務身分登入,方法是執行下列動作:

    1. 按兩下 [拒絕以服務登入] ,然後選取 [ 定義這些原則設定]。

    2. 按一下 [新增使用者或群組 ],然後按一下 [ 流覽]。

    3. 輸入 系統管理員,按一下 [檢查名稱],然後按一下 [ 確定]。 確認帳戶是以 < DomainName > \Username 格式顯示,如下列螢幕擷取畫面所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a service.

    4. 按一下 [確定],然後再按一下 [ 確定 ]。

  10. 設定使用者權限,以防止 BA 帳戶透過遠端桌面服務存取成員伺服器和工作站,方法是執行下列動作:

    1. 按兩下 [拒絕透過遠端桌面服務登入 ],然後選取 [ 定義這些原則設定]。

    2. 按一下 [新增使用者或群組 ],然後按一下 [ 流覽]。

    3. 輸入 系統管理員,按一下 [檢查名稱],然後按一下 [ 確定]。 確認帳戶是以 < DomainName > \Username 格式顯示,如下列螢幕擷取畫面所示。

      Screenshot that shows how to verify you have configured the user rights to prevent the BA account from accessing member servers and workstations via Remote Desktop Services.

    4. 按一下 [確定],然後再按一下 [ 確定 ]。

  11. 若要結束群組原則管理編輯器,請按一下 [檔案],然後按一下 [結束]。

  12. [群組原則管理]中,執行下列動作,將 GPO 連結到成員伺服器和工作站 OU:

    1. 流覽至 <> 樹系\Domains\ < Domain > (,其中 < 樹 > 系是樹系的名稱,而 < Domain > 是您要設定群組原則) 的功能變數名稱。

    2. 以滑鼠右鍵按一下要套用 GPO 的 OU,然後按一下 [ 連結現有的 GPO]。

      Screenshot that shows the Link an Existing GPO menu option.

    3. 選取您建立的 GPO,然後按一下 [ 確定]。

      Screenshot that shows where to select the GPO you created.

    4. 建立包含工作站之所有其他 OU 的連結。

    5. 建立包含成員伺服器之所有其他 OU 的連結。

重要

當您將系統管理員帳戶新增至這些設定時,您可以指定您要如何標記帳戶來設定本機系統管理員帳戶或網域系統管理員帳戶。 例如,若要將 TAILSPINTOYS 網域的系統管理員帳戶新增至這些拒絕許可權,您可以流覽至 TAILSPINTOYS 網域的系統管理員帳戶,其會顯示為 TAILSPINTOYS\Administrator。 如果您在群組原則物件編輯器的這些使用者權限設定中輸入 「系統管理員」,則會限制套用 GPO 的每部電腦上本機系統管理員帳戶,如先前所述。

驗證步驟

這裡概述的驗證步驟是Windows 8和Windows Server 2012所特有。

確認 [需要智慧卡才能進行互動式登入] 帳戶選項
  1. 從受到 GPO 變更影響的任何成員伺服器或工作站,嘗試使用網域的內建系統管理員帳戶以互動方式登入網域。 嘗試登入之後,應該會出現類似下列的對話方塊。

Screenshot that says you must use a smart card to sign in.

確認「拒絕從網路存取這部電腦」GPO 設定

從不受 GPO 變更影響的任何成員伺服器或工作站 (例如跳躍伺服器) ,嘗試透過受到 GPO 變更影響的網路存取成員伺服器或工作站。 若要確認 GPO 設定,請執行下列步驟,嘗試使用 NET USE 命令來對應系統磁片磁碟機:

  1. 使用網域的內建系統管理員帳戶登入網域。

  2. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  3. 在 [ 搜尋] 方塊中,輸入 命令提示字元,以滑鼠右鍵按一下 [ 命令提示字元],然後按一下 [ 以系統管理員 身分執行] 以開啟提升許可權的命令提示字元。

  4. 當系統提示您核准提高許可權時,請按一下 [ ]。

    Screenshot that shows the User Access Control dialog box.

  5. 在 [ 命令提示字元] 視窗中,輸入 net use \\ < Server Name > \c$,其中 < [伺服器名稱 > ] 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面顯示應該出現的錯誤訊息。

    Screenshot that shows an access failure error.

確認「拒絕以批次作業登入」GPO 設定

從受到 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔
  1. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  2. 在 [搜尋] 方塊中,輸入記事本,然後按一下[記事本]。

  3. 記事本中,輸入dir c:

  4. 按一下 [檔案] ,然後按一下 [ 另存新檔]。

  5. 在 [檔案名] 欄位中,輸入< Filename.bat(,其中 Filename >> 是新批次檔的名稱 <) 。

排程工作
  1. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  2. 在 [ 搜尋] 方塊中,輸入 工作排程器,然後按一下 [ 工作排程器]。

    注意

    在執行Windows 8的電腦上,于 [搜尋] 方塊中輸入排程工作,然後按一下 [排程工作]。

  3. [工作排程器] 上,按一下 [ 動作],然後按一下 [ 建立工作]。

  4. 在 [建立工作] 對話方塊中,輸入< [工作名稱] (,其中 [任務名稱 >> ] 是新任務) 的名稱。 <

  5. 按一下 [ 動作] 索引 標籤,然後按一下 [ 新增]。

  6. [動作:] 底下,選取 [ 啟動程式]。

  7. [程式/腳本:] 底下,按一下 [ 流覽],找出並選取在 [建立批次檔] 區段中建立的批次檔,然後按一下 [ 開啟]。

  8. 按一下 [確定]。

  9. 按一下 [General] \(一般\) 索引標籤。

  10. [安全性 選項] 下,按一下 [變更使用者或群組]。

  11. 在網域層級輸入 BA 帳戶的名稱,按一下 [ 檢查名稱],然後按一下 [ 確定]。

  12. 選取 [執行使用者是否已登入 ],以及 [不要儲存密碼]。 工作只能存取本機電腦資源。

  13. 按一下 [確定]。

  14. 對話方塊應該會出現,要求使用者帳號憑證來執行工作。

  15. 輸入認證之後,按一下 [ 確定]。

  16. 應該會出現類似下列的對話方塊。

    Screenshot that shows a Task Scheduler dialog box.

確認「拒絕以服務方式登入」GPO 設定
  1. 從受到 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  3. 在 [ 搜尋] 方塊中,輸入 服務,然後按一下 [ 服務]。

  4. 找出並按兩下 [列印多工緩衝處理器]。

  5. 单击“登录”选项卡。

  6. [以下列身分登入:] 底下,選取 [此帳戶]。

  7. 按一下 [流覽],在網域層級輸入 BA 帳戶的名稱,按一下 [ 檢查名稱],然後按一下 [ 確定]。

  8. 在 [ 密碼:] 和 [ 確認密碼]底下,輸入系統管理員帳戶的密碼,然後按一下 [ 確定]。

  9. 再按三次 [確定 ]。

  10. 以滑鼠右鍵按一下 列印多工緩衝處理器服務 ,然後選取 [ 重新開機]。

  11. 重新開機服務時,應該會出現類似下列的對話方塊。

    Screenshot that shows the Services dialog box.

還原印表機多工緩衝處理程式服務的變更
  1. 從受到 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  3. 在 [ 搜尋] 方塊中,輸入 服務,然後按一下 [ 服務]。

  4. 找出並按兩下 [列印多工緩衝處理器]。

  5. 单击“登录”选项卡。

  6. [以下列身分登入:] 底下,選取 [ 本機系統 帳戶],然後按一下 [ 確定]。

確認「拒絕透過遠端桌面服務登入」GPO 設定
  1. 使用滑鼠時,將指標移至螢幕右上角或右下角。 當 [常用鍵] 列出現時,按一下 [ 搜尋]。

  2. 在 [ 搜尋 ] 方塊中,輸入 遠端桌面連線,然後按一下 [ 遠端桌面連線]。

  3. 在 [電腦]欄位中,輸入您要連線的電腦名稱稱,然後按一下[連線]。 (您也可以輸入 IP 位址,而不是電腦名稱稱。)

  4. 出現提示時,請在網域層級提供 BA 帳戶名稱的認證。

  5. 應該會出現類似下列的對話方塊。

    securing built-in admin accounts