加入網域的伺服器帳戶應該怎麼設定比較好

駭客資安

阿輪 2023-12-01 11:23:58 ‧ 2154 瀏覽

分享至

因為之前有發生過被駭客用1組帳密入侵大半伺服器
那時候有做後續的緊急處理，好像是把所有server都做一組自己的admin帳密
並取消所有共同登入的帳密，只是有點忘記那時候是怎麼做的了？
需求是該帳密只能登入特定主機而已，並擁有本機administrator
這部份應該做本機還是做網域帳號比較適合呢？

不過要是流出的是Domain admin是不是就沒救？

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2023-12-01 13:30:42 檢舉

伺服器有伺服器原則啊，gpo 要設定好，網域帳戶角色請先搞清楚那些角色的功用是什麼，別不管什麼服務都Domain admin 一帳到底，還有可以考慮MFA，多重認證，包括零信任這些都是未來為了安全該規劃的項目

阿輪 iT邦新手 4 級 ‧ 2023-12-04 11:28:41 檢舉

後面我也想做~不過要錢跟時間阿...

目前是設定好了，不過我如果想限制server用帳號不能登client PC的話要怎麼設定比較好？

薄荷 iT邦新手 5 級 ‧ 2023-12-04 14:15:33 檢舉

小公司做法給您參考。
1.主機的管理帳號以本機帳號為主，確保每台重要主機的帳號/密碼都不同
2.若主機需要網域存取權限，網域新增專屬帳號(非網域管理者)，設定【登入到】限制可以使用該組帳密的電腦名稱
3.網域管理者帳號依使用者建立&委派權限控制，最大權限的網域管理者使用前要先申請或紀錄
4.每天回DC抓取事件檢視器確認Domain admin的登入記錄(GPO要先設定)

阿輪 iT邦新手 4 級 ‧ 2023-12-12 11:39:08 檢舉

謝謝，目前也是採用這種做法中，不過fileserver用AD帳號就算加入本地administrators也是一直會有權限問題，有點麻煩...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

CyberSerge

iT邦好手 1 級 ‧ 2023-12-01 12:22:45

For local admin password, can look into Windows LAPS (Local Administrator Password Solution)
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview

As for Domain Admin, you are supposed to setup detection capability to identify abnormal login. You can also look into below 2 articles to properly secure the account

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory