在 Windows 11 中保护本地帐户和管理员帐户不再是可选项:如果您不想让自己的帐户被盗用,那么现在保护帐户是强制性的。 一台被攻破的机器就可能拖垮整个域。此外,最好检查一下你的账户是否已被盗用。
关键在于将所有部分完美地结合起来: 本地管理员使用 LAPS 进行管理,域帐户采用最小权限原则,使用强密码,并采用一致的锁定策略。如果在此基础上添加明确的程序(谁可以做什么、从哪里以及如何进行审核),您将为在 Windows 11 中安全管理本地帐户奠定非常坚实的基础。
为什么管理员和本地帐户如此危险
拥有高权限的账户很容易成为任何攻击者的目标,因为 他们拥有对计算机的完全访问权限,而且通常拥有对整个域的访问权限。这既适用于传统的本地管理员,也适用于 Active Directory 中的顶级组。
在典型的域环境中,至少会发现以下几种对安全性影响较大的帐户和组:
- 本地管理员帐户:每个团队的集成版本(您可以 启用隐藏的管理员帐户以及任何被添加到本地管理员组的用户。他们拥有对其所在系统的绝对控制权。
- 域管理员:域管理员组的帐户,对该域的所有成员计算机具有权限。
- 森林管理者:在森林根域中,对所有域拥有控制权,实际上对整个 AD 基础架构拥有控制权。
- 方案管理人和其他特殊群体他们可以修改 AD 架构、管理林级别的 GPO、颁发证书等等。任何错误都会产生连锁反应。
问题不仅仅在于外部攻击者。 权限过大或知识不足的内部用户也可能造成巨大损失。删除关键数据、错误配置域控制器、禁用防病毒软件或无意中为恶意软件打开了方便之门。
如果你还养成总是以管理员身份登录的习惯,实际上就是把你的电脑拱手让给任何恶意代码: 该恶意软件将以与您的会话相同的权限运行。他将能够创建用户、导出哈希值、横向移动,并且如果运气好的话,还能扩展到整个域。为了减少物理入侵途径,请进行审查。 保护计算机免受恶意U盘侵害的实用措施.
您应该监控的管理帐户类型
实际上,在企业环境中规划 Windows 11 安全性时,您会关注以下三类主要的特权帐户:
- 本地管理员帐户 在成员工作站和服务器上。这包括内置的管理员帐户以及本地管理员组中的任何其他用户。
- 域管理员帐户通常是域管理员成员,他们通常也拥有许多关键服务器的本地权限。
- 森林管理者 (组织管理员成员,在某些情况下还包括架构管理员)可以接触到林、域、CA、智能卡等。
此外,我们还要补充一个非常微妙的子类型: 与代理证书关联的帐户 (例如 EFS 恢复代理、注册、密钥恢复等)。这些账户可用于冒充他人、为其他用户注册智能卡或解密数据。因此,它们应受到比普通管理员账户更严格的安全策略约束。
基本良好做法:最小特权和职责分离
能够让你以最小的努力获得最大保障的原则是: 最小特权每个用户、服务或团队都应该拥有其所需的全部权限,不多不少。但这必须真正落实到位,而不仅仅停留在 PowerPoint 演示文稿中。
应用最小权限原则涉及几个实际决策:
- 每个管理员可拥有两个帐户您应该拥有一个用于日常用途(电子邮件、浏览网页、办公软件)的常用账户,以及另一个专门用于管理任务的账户。管理账户不应用于查看电子邮件或浏览网页。
- 系统地使用 Run as(Runas 或辅助登录服务) 你无需以管理员身份登录,只需使用提升的凭据启动控制台或工具即可完成操作。
- 不要在不需要的地方授予域权限。即使账户与某个账户之间存在信任关系,一个账户在一个森林中拥有权限,也不一定在另一个森林中拥有权限。
- 定期审查特权群体成员资格删除不再使用或权限过大的帐户和群组。
另外,强烈建议 明确区分域管理员和组织管理员的角色。您可以选择为组织管理员创建一个高度安全的单一帐户,或者更好的办法是,仅在需要时才创建帐户,使用后立即将其删除。
LAPS:如果设置不当,既有真正的优势,也有真正的风险。
LAPS(本地管理员密码解决方案及其现代版本 Windows LAPS)解决了许多网络的一个经典缺陷: 所有计算机都使用相同的本地管理员密码这种做法是横向移动的完美配方:你攻破一台电脑,导出哈希值,进行哈希传递,然后就可以从一台机器跳转到另一台机器。
借助 LAPS,域中的每个团队都拥有 为您的本地管理员帐户设置一个唯一、足够长且随机的密码数据以加密形式存储在 Active Directory 中,并自动轮换。这具有非常明显的优势:
- 缓解哈希传递和票据传递攻击如果攻击者窃取了某台机器的本地管理员哈希值,那么它只能在该台机器上生效。
- 便于设备救援如果一台电脑被移出域或用户配置文件损坏,您可以使用非常强大的本地管理员凭据登录并修复它。
- 无需共享本地“主”密码 在技术人员中,这会带来各种安全隐患。
然而,这并非魔法。要让它奏效,你必须…… 在 AD 中拥有有权读取这些密码的帐户(或组)。而这正是令人担忧的地方:如果有人窃取了具有 LAPS 读取权限的凭据,他们就可以逐个提取整个园区的本地密码。
要使 LAPS 成为净优势而不是新的漏洞,关键在于要像对待黄金一样对待这些读取权限:
- 一小群获得授权的技术人员 (理想情况下,在 AD 中专用的安全组)仅在需要的 OU 中具有 LAPS 属性读取权限。
- 严格的审计 谁在何时读取了哪些密码?这使您能够在需要查看任何特定时间谁拥有提升的权限时进行追踪。
- 切勿将具有 LAPS 权限的帐户用于日常任务。如果您的环境允许,请使用专用管理帐户或即时/适量管理。
还有一个重要的问题:LAPS 是否意味着计算机上不再需要本地域管理员? 不必要明智的做法是将以下两点结合起来:
- Un 本地管理员使用 LAPS 进行管理 用于事故、救援和非常具体的任务。
- 一个或多个 通过 GPO 将域组分配给本地管理员组 用于支持任务、软件部署、漏洞扫描等。
这为您提供了使用漏洞扫描器或部署系统等工具所需的灵活性,但是 您无需在整个网络中依赖单个克隆的本地凭据.
如何保持透明度:权限提升时谁做了什么
由此产生一个合理的问题:如果您使用 LAPS,并且每台计算机只有一个本地管理员帐户,您如何控制 谁使用过该账户从会计和审计的角度来看,你不希望出现一种“万能”系统,让每个人都用同一个身份进入系统而不留下任何痕迹。
答案在于结合多种措施:
- 除非在极端情况下,否则不要使用与本地管理员的直接交互式会话。理想情况下,技术人员应该使用自己的命名(域)帐户进行身份验证,并且仅在需要时才使用本地凭据。
- 审计登录事件 (例如,在工作站和服务器上使用交互式、RDP、Runas 等方式)日志记录。您可以将日志集中存储在 SIEM 系统或事件收集服务器上。
- 将 LAPS 密码读取关联到变更请求或工单如果内部工具或门户网站要求提供访问设备密码的理由,那么您就已经具备了可追溯性。
最终,如果技术人员需要在 AD 中查看 LAPS 密码,就应该留下痕迹: 谁提出的请求,为哪个球队提出的,以及何时提出的。这在一定程度上弥补了随后在计算机上启动的会话将使用本地“非个人”帐户这一事实。
Windows 11 中的帐户策略:多用户和独立配置文件
除了企业层面,即使在家庭环境或小型企业中也能获得回报。 为每个人或角色创建不同的用户始终共享同一个帐户(更不用说管理员帐户)是一个糟糕的做法,原因有以下几点:
- 零隐私任何人都可以看到你的文件、浏览历史记录、在本地客户端中打开的电子邮件等等。
- 恶意软件风险和配置变更如果每个人都是管理员,那么经验不足的用户可以安装恶意软件或禁用关键选项。
- 缺乏可追溯性在工作环境中,如果每个人都使用同一个帐户“PCVentas”,则不可能知道是谁做了哪些更改。
Windows 11 让用户管理变得更加容易:
- 本地帐户如果您注重隐私,不希望所有流量都通过微软的在线身份系统,那么这款产品是您的理想之选。它尤其适合共享电脑、拥有独立策略的环境,或者您不需要与 Microsoft 365 服务集成的情况。
- 微软帐户它们可以同步设置、凭据以及对云服务(OneDrive、Office、Xbox 等)的访问权限。对于日常使用公司服务的用户来说非常方便。
- 家庭账户专为儿童设计,具备家长控制、时间限制、内容过滤和通过 Microsoft Family Safety 进行集中监控的功能。
在 Windows 11 中创建用户有多种选择:设置 > 帐户 > 其他用户、计算机管理器(本地用户和组)、工具 netplwiz 或者直接使用类似这样的命令 网络用户 从控制台执行。重要的不是路径,而是结果: 每个人都有自己的账户,并且只有那些应该成为管理员的人才能加入管理员组。.
Windows 密码策略:减少人为错误的关键
如果你允许用户设置像“123456”或“password”这样的密码,那么架构设计再好也无济于事。Windows密码策略正是为此而设的。 制定最低安全规则 避免荒谬之事。
此指令是本地或域安全策略的一部分,允许您调整以下方面:
- 经度极小值:密码必须包含的最小字符数。
- 复杂是否包含大写字母、小写字母、数字和符号。
- 记录为了防止用户重复使用密码,系统会记住多少个以前的密码?
- 最大和最小有效期需要多久更换一次?更换后需要保存多长时间才能再次更换?
- 账户锁定:防止暴力破解攻击的失败尝试次数和阻塞时间。
这可以通过组策略编辑器 (gpedit.msc) 进行配置,或者在域环境中,通过 GPO 进行配置: 计算机配置 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略.
如今,一个好的密码应该是什么样的?
如果你想设置真正能够抵御当前攻击的密码,基本理论仍然适用,但必须严格执行。一个好的密码应该具备以下特点:
- 只要不会在其他服务或设备上重复使用。这样可以避免因泄露到其他网站或应用而产生的“多米诺骨牌效应”。
- 拉尔加从 10-12 个字符开始就比较合理了,但对于关键帐户(例如域管理员)来说除外。 15 个或更多字符 它是理想的。
- 复杂但令人难忘:由大写字母、小写字母、数字和符号组合而成,但以如下形式排列: 传递短语 容易记住,但用字典很难改正。
一个非常实用的技巧是加密短语:你选择一个你记得的短语(“我的儿子胡安比我的女儿安娜大三岁”),保留每个单词的首字母,插入数字和符号: MhJe3@mqmh@这样就能生成长而强的密码,而无需您输入难以理解的内容。
在更严肃的场合,你可以直接从 密码生成器 以及证书管理机构,例如 KeePassXC结合多因素身份验证。您务必避免以下情况:
- 空白或简单的密码 (“管理员”、“qwerty”、出生日期……)
- 写在便签纸上的密码 粘在屏幕上或保存在未加密的文档中。
- 对电子邮件、社交媒体、VPN 和 Windows 登录使用相同的密码.
结合密码策略和帐户锁定
密码策略并非孤立存在; 此外,我们还实施了账户封禁政策。目标是防止攻击者对凭证发起数千次连续攻击尝试。
在 Windows 系统中,您可以定义:
- 阻塞阈值:账户被锁定前登录失败的次数。
- 封锁持续时间:账户将被冻结的时间。
- 计数窗口:统计失败尝试次数以确定是否被阻止的时间间隔。
在早期版本的 Windows 系统中,有一些实用程序,例如: passprop.exe 甚至连内置的管理员帐户也要受到阻止策略的限制,最初仅限于远程启动,后来也包括交互式启动。如今,借助 Windows 11 和最新的 Active Directory,您可以使用组策略对象 (GPO) 更好地调整这些行为,但思路是一样的: 即使是传统的管理员也无法逃脱控制。.
检测弱密码并定期审核
制定规则固然重要,但现实情况是,总会有一些用户只想省事,或者多年来一直使用同一个密码。因此,建议在指令之外,辅以其他措施。 密码分析工具:
- 在线(联网)工具,例如 MBSA (在旧版环境中,Microsoft Baseline Security Analyzer)会检查空密码、与用户名或计算机名称相同的密码。
- 第三方离线工具 分析哈希值并查找弱密码,而不会导致帐户锁定(推荐方法)。
当检测到弱密码时,理想的解决方案是自动响应: 强制更改密码为强密码,或向所有者发送非常明确的警告。在监管更为严格的环境下,可能需要立即恢复运行并通知安全团队。
审计不仅限于密码;它还必须涵盖以下内容: 使用特权账户谁在何处登录,谁更改了组成员身份,谁修改了安全策略等等。事件查看器、适当的 GPO,以及(如果组织规模足够大)SIEM,都是你的得力助手。
特权账户:它们的使用范围以及如何进一步保护它们
另一个关键部分是 限制具有高权限的域帐户可使用的计算机数量。域管理员无论多么着急,都不应该登录普通用户的电脑。
一些非常有效的措施包括:
- 仅允许域管理员在域控制器和专用管理工作站上进行交互式登录绝不能在不可靠的用户设备或服务器上运行。
- 禁止将管理员帐户用作服务或用于批量任务除非受到极其谨慎的管理。
- 禁用特权帐户的委派将它们标记为“该帐户很重要,不能委托”,防止通过受信任的服务器冒充他人进行委托。
为了进一步提高水平,强烈建议要求: 管理员登录使用智能卡 (强双因素认证)。这可以防止因密码共享、被盗或被键盘记录器截获而引起的许多问题,并确保登录者实际持有银行卡和密码。
在极其敏感的账户(例如组织管理人员的账户)中,有可能 以可控的方式在两人之间共享账户。一人持有智能卡,另一人持有密码,因此两人必须同时在场才能使用。从个人责任的角度来看,这种方式并不完美,但它确实增加了一层相当有效的物理控制和监督。
这套完整的措施框架——包括配置完善的 LAPS(本地访问安全策略)、严格但合理的密码策略、最小权限原则、审计以及基于智能卡的强身份验证——能够实现以下目标: Windows 11 中的本地帐户和管理员帐户应该是受控工具,而不是指向自己网络的一把上了膛的枪。帮助您在不干扰用户日常生活或让您因处理事件而感到烦恼的情况下,保持安全性、可追溯性和响应能力。 分享信息,其他用户也能了解这个话题。.