iT邦幫忙

0

加入網域的伺服器帳戶應該怎麼設定比較好

  • 分享至 

  • xImage

因為之前有發生過被駭客用1組帳密入侵大半伺服器
那時候有做後續的緊急處理,好像是把所有server都做一組自己的admin帳密
並取消所有共同登入的帳密,只是有點忘記那時候是怎麼做的了?
需求是該帳密只能登入特定主機而已,並擁有本機administrator
這部份應該做本機還是做網域帳號比較適合呢?

不過要是流出的是Domain admin是不是就沒救?

看更多先前的討論...收起先前的討論...
伺服器有伺服器原則啊,gpo 要設定好,網域帳戶角色請先搞清楚那些角色的功用是什麼,別不管什麼服務都Domain admin 一帳到底,還有可以考慮MFA,多重認證,包括零信任這些都是未來為了安全該規劃的項目
阿輪 iT邦新手 4 級 ‧ 2023-12-04 11:28:41 檢舉
後面我也想做~不過要錢跟時間阿...

目前是設定好了,不過我如果想限制server用帳號不能登client PC的話要怎麼設定比較好?
薄荷 iT邦新手 5 級 ‧ 2023-12-04 14:15:33 檢舉
小公司做法給您參考。
1.主機的管理帳號以本機帳號為主,確保每台重要主機的帳號/密碼都不同
2.若主機需要網域存取權限,網域新增專屬帳號(非網域管理者),設定【登入到】限制可以使用該組帳密的電腦名稱
3.網域管理者帳號依使用者建立&委派權限控制,最大權限的網域管理者使用前要先申請或紀錄
4.每天回DC抓取事件檢視器確認Domain admin的登入記錄(GPO要先設定)
阿輪 iT邦新手 4 級 ‧ 2023-12-12 11:39:08 檢舉
謝謝,目前也是採用這種做法中,不過fileserver用AD帳號就算加入本地administrators也是一直會有權限問題,有點麻煩...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
CyberSerge
iT邦好手 1 級 ‧ 2023-12-01 12:22:45

For local admin password, can look into Windows LAPS (Local Administrator Password Solution)
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview

As for Domain Admin, you are supposed to setup detection capability to identify abnormal login. You can also look into below 2 articles to properly secure the account

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory

我要發表回答

立即登入回答