Этот вопрос относится к ветке @ SwiftOnSecurity в Twitter: https://twitter.com/SwiftOnSecurity/status/655208224572882944
Прочитав ветку, я все еще не совсем понимаю, зачем вам отключать сетевой вход для локальных учетных записей.
Итак, вот что я думаю, пожалуйста, поправьте меня, где я ошибаюсь:
Скажем, у меня настроена AD с контроллером домена и несколькими клиентами. Один из клиентов - Джон. Итак, утром Джон идет на работу и входит в свой настольный компьютер с учетными данными AD. В полдень Джон идет на встречу и «блокирует» свой компьютер (windows + L). Затем ему нужно удаленно подключиться к своему ПК в офисе с помощью своего личного ноутбука (через RDP или что-то еще). Однако, используя эту новую политику, он не сможет этого сделать.
Объяснение, которое дает Securitay, состоит в том, что пароли не соленые. Однако как в этом случае злоумышленник получит доступ? На каком конце пароль не солится? Или ситуация, которая у меня в голове, совершенно не связана с тем, что она пытается сказать? Если это так, что она на самом деле пытается сказать?
Разрешение входа в сеть для локальных учетных записей опасно и является плохой практикой безопасности. Для членов группы администраторов я бы охарактеризовал это как халатность. Это обеспечивает возможность бокового перемещения, и его трудно обнаружить и провести аудит, поскольку учетные записи не регистрируются централизованно (на контроллерах домена).
Чтобы уменьшить эту угрозу, Microsoft фактически создала два новых встроенных идентификатора безопасности, чтобы добавить к праву пользователя «Запретить доступ к этому компьютеру из сети»:
S-1-5-113: NT AUTHORITY\Local account
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group
http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx
http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx
Нет, ваш примерный сценарий неверен. Если он использует учетные данные AD для входа в систему, все в порядке. Проблема связана с локальными учетными записями, то есть теми, которые созданы и существуют только на отдельных компьютерах. Например,. \ Administrator, но это применимо к любой учетной записи в домене компьютера (COMPUTERNAME \ USERNAME). Риск безопасности "AIUI заключается в том, что если локальные учетные записи (например, локальный администратор) используют один и тот же пароль на нескольких машинах, можно извлечь хэши паролей с компьютера и повторно использовать хэши в некоторых случаях для (в качестве заражения вредоносным ПО) или другой злоумышленник) перемещаются между компьютерами.