附錄 H︰保護本機 Administrators 帳戶和群組

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 H︰保護本機 Administrators 帳戶和群組

在目前處於主流支援的所有 Windows 版本上，預設會停用本機系統管理員帳戶，讓帳戶無法用於傳遞雜湊和其他認證竊取攻擊。 不過，在包含舊版作業系統或已啟用本機系統管理員帳戶的環境中，這些帳戶可以如先前所述，在成員伺服器和工作站之間傳播入侵。 每個本機系統管理員帳戶和群組都應該受到保護，如後續的逐步指示中所述。

如需保護內建系統管理員 (BA) 群組考量的詳細資訊，請參閱實作最低權限系統管理模型。

本機系統管理員帳戶的控制項

針對樹系中每個網域中的本機系統管理員帳戶，您應該設定下列設定：

• 設定 GPO 以限制網域系統管理員帳戶在已加入網域的系統上使用

  • 在每一個網域中建立並連結至工作站和成員伺服器 OU 的一或多個 GPO 中，將系統管理員帳戶新增至電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派中的下列使用者權限：

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

    • 拒絕透過遠端桌面服務登入

保護本機系統管理員群組的逐步指示

設定 GPO 以限制已加入網域系統上的系統管理員帳戶

1. 在 [伺服器管理員] 按一下 [工具]，然後按一下 [群組原則管理]。

2. 在主控台樹狀目錄中，展開<樹系>\網域\<[網域]>，然後展開[群組原則物件](其中<[樹系]>是樹系的名稱，而<[網域]>是您要設定群組原則的網域名稱)。

3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵，然後按一下[新增]。

   

4. 在[新增 GPO]對話方塊中。輸入<GPO 名稱>，然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。

   

5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵，然後按一下[編輯]。

6. 導覽至 [電腦設定\原則\Windows 設定\安全性設定\本機原則]，然後按一下 [使用者權限指派]。

   

7. 設定使用者權限，以防止本機系統管理員帳戶透過網路存取成員伺服器和工作站，方法如下：

   1. 按兩下 [拒絕從網路存取這台電腦]，然後選取 [定義這些原則設定]。

   2. 按一下 [新增使用者或群組]，輸入本機系統管理員帳戶的使用者名稱，然後按一下 [確定]。 此使用者名稱將會是 Administrator，這是安裝 Windows 時的預設值。

      

   3. 按一下 [確定]。

      重要

      當您將 Administrator 帳戶新增至這些設定時，可以指定您要如何標記本機 Administrator 帳戶或網域 Administrator 帳戶來設定帳戶。 例如，若要將 TAILSPINTOYS 網域的系統管理員帳戶新增至這些拒絕權限，您會瀏覽至 TAILSPINTOYS 網域的系統管理員帳戶，這會顯示為 TAILSPINTOYS\Administrator。 如果您在群組原則物件編輯器中的這些使用者權限設定中輸入 Administrator ，將會限制套用 GPO 之每部電腦的本機系統管理員帳戶，如先前所述。

8. 設定使用者權限，以避免本機 Administrators 帳戶以批次工作登入，方法如下：

   1. 按兩下 [拒絕以批次工作登入]，然後選取 [定義這些原則設定]。

   2. 按一下 [新增使用者或群組]，輸入本機系統管理員帳戶的使用者名稱，然後按一下 [確定]。 此使用者名稱將會是 Administrator，這是安裝 Windows 時的預設值。

      

   3. 按一下 [確定]。

      重要

      當您將系統管理員帳戶新增至這些設定時，您可以指定您要如何標記帳戶來設定本機系統管理員帳戶或網域系統管理員帳戶。 例如，若要將 TAILSPINTOYS 網域的系統管理員帳戶新增至這些拒絕權限，您會瀏覽至 TAILSPINTOYS 網域的系統管理員帳戶，這會顯示為 TAILSPINTOYS\Administrator。 如果您在群組原則物件編輯器中的這些使用者權限設定中輸入 Administrator ，將會限制套用 GPO 之每部電腦的本機系統管理員帳戶，如先前所述。

9. 設定使用者權限，以避免本機 Administrators 帳戶以服務方式登入，方法如下：

   1. 按兩下 [拒絕以服務方式登入]，然後選取 [定義這些原則設定]。

   2. 按一下 [新增使用者或群組]，輸入本機系統管理員帳戶的使用者名稱，然後按一下 [確定]。 此使用者名稱將會是 Administrator，這是安裝 Windows 時的預設值。

      

   3. 按一下 [確定]。

      重要

      當您將系統管理員帳戶新增至這些設定時，您可以指定您要如何標記帳戶來設定本機系統管理員帳戶或網域系統管理員帳戶。 例如，若要將 TAILSPINTOYS 網域的系統管理員帳戶新增至這些拒絕權限，您會瀏覽至 TAILSPINTOYS 網域的系統管理員帳戶，這會顯示為 TAILSPINTOYS\Administrator。 如果您在群組原則物件編輯器中的這些使用者權限設定中輸入 Administrator ，將會限制套用 GPO 之每部電腦的本機系統管理員帳戶，如先前所述。

10. 設定使用者權限，以防止本機系統管理員帳戶透過遠端桌面服務存取成員伺服器和工作站，方法是執行下列動作：

    1. 按兩下 [允許透過遠端桌面服務登入]，然後選取 [定義這些原則設定]。

    2. 按一下 [新增使用者或群組]，輸入本機系統管理員帳戶的使用者名稱，然後按一下 [確定]。 此使用者名稱將會是 Administrator，這是安裝 Windows 時的預設值。

       

    3. 按一下 [確定]。

       重要

       當您將系統管理員帳戶新增至這些設定時，您可以指定您要如何標記帳戶來設定本機系統管理員帳戶或網域系統管理員帳戶。 例如，若要將 TAILSPINTOYS 網域的系統管理員帳戶新增至這些拒絕權限，您會瀏覽至 TAILSPINTOYS 網域的系統管理員帳戶，這會顯示為 TAILSPINTOYS\Administrator。 如果您在群組原則物件編輯器中的這些使用者權限設定中輸入 Administrator ，將會限制套用 GPO 之每部電腦的本機系統管理員帳戶，如先前所述。

11. 若要結束 [群組原則管理編輯器]，請按一下 [檔案]，然後按一下 [結束]。

12. 在[群組原則管理]中，將 GPO 連結至成員伺服器和工作站 OU，方法如下：

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱，而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 以滑鼠右鍵按一下將要套用 GPO 的 OU，然後按一下 [連結現有 GPO]。

       

    3. 選取您所建立的 GPO，然後按一下 [確定]。

       

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」)，嘗試透過受 GPO 變更影響的網路，存取成員伺服器或工作站。 若要驗證 GPO 設定，請使用 NET USE 命令嘗試對應系統磁碟機。

1. 在本機登入不受 GPO 變更影響的任何成員伺服器或工作站。

2. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

3. 在[搜尋]方塊中，輸入[命令提示]，以滑鼠右鍵按一下[命令提示字元]，然後按一下[以系統管理員身分執行]，以開啟已提高權限的命令提示字元。

4. 系統提示核准提高權限時，請按一下 [是]。

   

5. 在 [命令提示字元] 視窗中，輸入 [net use \\\c$]，其中 [Server Name] 是您嘗試透過網路存取的成員伺服器或工作站名稱。net use \\<Server Name>\c$ /user:<Server Name>\Administrator<>

   注意

   本機系統管理員認證必須來自您嘗試透過網路存取的相同系統。

6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

   

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站，在本機登入。

建立批次檔

1. 使用滑鼠，將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

2. 在[搜尋]方塊中，輸入記事本，然後按一下[記事本]。

3. 在[記事本]中，輸入[dir c:]。

4. 按一下 [檔案]，然後按一下 [另存新檔]。

5. 在 [檔案名稱] 方塊中，輸入 .ba (其中 Filename 是新批次檔的名稱)。在 [檔案名稱] 方塊中，輸入 <Filename>.bat (其中 <Filename> 是新批次檔的名稱)。

排定工作

1. 使用滑鼠，將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

2. 在 [搜尋] 方塊中，輸入 [工作排程器]，然後按一下 [工作排程器]。

   注意

   在執行 Windows 8 的電腦上，於[搜尋]方塊中輸入排程工作，然後按一下[排程工作]。

3. 按一下[動作]，然後按一下[建立工作]。

4. 在[建立工作]對話方塊中，輸入工作名稱<> (其中<工作名稱>是新工作的名稱)。

5. 按一下 [動作] 索引標籤，然後按一下 [新增] 。

6. 在 [動作] 欄位中，選取 [啟動程式]。

7. 在 [程式/指令碼] 欄位中，按一下 [瀏覽]，找到並選取在 [建立批次檔] 區段中建立的批次檔 ，然後按一下 [開啟]。

8. 按一下 [確定]。

9. 按一下 [General] \(一般\) 索引標籤。

10. 在 [安全性選項] 欄位中，按一下 [Change User or Group] (變更使用者或群組)。

11. 輸入系統本機系統管理員帳戶的名稱，按一下 [檢查名稱]，然後按一下 [確定]。

12. 選取 [不論使用者是否登入皆執行] 以及 [不要儲存密碼]。 此工作只能存取本機電腦資源。

13. 按一下 [確定]。

14. 應該會出現對話方塊，要求取得使用者帳戶認證來執行工作。

15. 輸入認證之後，按一下[確定]。

16. 應該會出現類似下列的對話方塊。

    

確認「拒絕以服務方式登入」GPO 設定

1. 透過受 GPO 變更影響的任何成員伺服器或工作站，在本機登入。

2. 使用滑鼠，將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

3. 在[搜尋]方塊中，輸入服務，然後按一下[服務]。

4. 找到[列印多工緩衝處理器]並按兩下。

5. 按一下 [登入] 索引標籤。

6. 在 [登入身分] 欄位中，按一下 [此帳戶]。

7. 按一下 [瀏覽]，輸入系統的本機系統管理員帳戶，按一下 [檢查名稱]，然後按一下 [確定]。

8. 在 [密碼] 和 [確認密碼] 欄位中，輸入選取的帳戶密碼，然後按一下 [確定]。

9. 再按 [確定] 三次。

10. 在[列印多工緩衝處理器]上按一下滑鼠右鍵，然後按一下[重新啟動]。

11. 重新啟動服務時，應該會出現類似下列的對話方塊。

    

將變更還原為「列印多工緩衝處理器服務」

1. 透過受 GPO 變更影響的任何成員伺服器或工作站，在本機登入。

2. 使用滑鼠，將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

3. 在[搜尋]方塊中，輸入服務，然後按一下[服務]。

4. 找到[列印多工緩衝處理器]並按兩下。

5. 按一下 [登入] 索引標籤。

6. 在 [登入身分] 欄位中，按一下 [本機系統] 帳戶，然後按一下 [確定]。

確認「拒絕透過遠端桌面服務登入」GPO 設定

1. 使用滑鼠，將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時，按一下[搜尋]。

2. 在[搜尋]方塊中，輸入遠端桌面連線，然後按一下[遠端桌面連線]。

3. 在[電腦]欄位中輸入您要連線的電腦名稱，然後按一下[連線]。 (您也可以不輸入電腦名稱而改輸入 IP 位址。)

4. 出現提示時，請提供系統本機系統管理員帳戶的認證。

5. 應該會出現類似下列的對話方塊。