Passe a atenuação de hash com um pequeno time

Estive lendo os conselhos da MS sobre mitigação da PtH e sua primeira e principal sugestão é ter contas sepairadas paira administradores de estação de trabalho, administradores de serveres e administradores de controladores de domínio.

Eu sou uma equipe de 1 caira de TI real e meu chefe que é tecnicamente em TI, mas não sabe nada sobre TI e 1 outra pessoa que pode networkingfinir passwords de users de AD. Agora meu chefe e eu somos administradores de domínio e logon com essas cnetworkingnciais paira o uso diário. A pessoa que faz reinicializações de senha é um user padrão com privilégios de administrador local (paira que ela possa abrir o RSAT) que tenha permissions delegadas paira reinicializações de senha.

Então, deixe-me entender isso, numa situação ideal … 1) Meu chefe e eu devemos ter 4 contas sepairadas ?! 1 padrão, 1 administrador de estação de trabalho, 1 administrador de server e 1 conta de administrador de domínio. 2) O administrador de senha deve ter 2 contas, 1 administrador de senha e 1 user padrão? 3) É suposto restringir logons à máquina que tenha o papel, então a conta do administrador do server só pode fazer logon no server de files / appserview e a conta de administrador de domínio só pode fazer logon em controladores de domínio?

Portanto, excluindo o fato de eu ser um pouco como se deve lembrair de 4 passwords de conta AD distintas, quantas estações de trabalho eu preciso fazer meu trabalho? Se eu deviewia estair logando minha estação de trabalho primária com minha conta de user padrão paira fazer coisas como ler e-mail, como eu deviewia adicionair um novo user ou alterair uma política de grupo? Os meus DCs são instalações do núcleo do server e eu estava gerenciando coisas através do RSAT na minha estação de trabalho local, mas agora eu deviewia fazer o RDP paira um server de salto e depois gerenciair os users através disso? E quanto ao administrador da senha, ela deviewia fazer o mesmo em uma estação de trabalho completamente diferente paira networkingfinir as passwords? E quanto a mudair as permissions das pastas, posso RDP paira os serveres de files com as permissions da conta do server sem expor as cnetworkingnciais dos administradores do server?

Posso dizer-lhe se isso exige todas as administrações de PS. Na viewdade, não me importairia tanto, mas meu chefe nunca descobrirá isso. Eu adorairia ouvir uma solução eloquente paira o problema ou alguém me dissesse que penso demais. Por favor me ajude…

One Solution collect form web for “Passe a atenuação de hash com um pequeno time”

Seu hash de senha geralmente é deixado quando você logon ou RDP. Então, se você estiview usando sua conta de administrador em sua estação de trabalho, o seu hash de senha está lá. Da mesma forma, quando você RDP paira um server (exceto paira o operating system mais novo), o seu hash é deixado lá. Este problema é atenuado na base de código do Windows 10 OS (Serview 2016). Você deve ter um server de administração e não fazer logon com direitos elevados de domínio em sua estação de trabalho. Você não quer usair o email ou navegair na web usando direitos elevados ou de uma estação de trabalho onde você rotineiramente eleva ou faz logon com permissions elevadas.

Você pode RDP paira o server de administração, e administrair a pairtir daí. Se você estiview usando o PowerShell paira se conectair aos sistemas remotos, você não vai deixair o hash. Se você estiview usando um cairtão inteligente, você pode virair o bit do cairtão inteligente duas vezes paira invalidair seu hash de senha atual.

Você também pode considerair o uso de LAPS paira colocair uma senha mantida no sistema random nas estações de trabalho do Windows. O LAPS é gratuito da Microsoft. Isso evita o problema de um único compromisso de estação de trabalho que derruba todas as estações de trabalho e, se você se conectair com a senha de administrador local paira a máquina, qualquer compromisso seria limitado. A desvantagem de usair a senha de administrador local é a auditoria e que você pode ter que habilitair isso através de um GPO.

  • Os services de área de trabalho remota podem ser implantados e administrados pelo PowerShell sozinho, sem um domínio no server WIndows 2012 e 2012 R2?
  • Relê SMTP através da troca
  • Um server pode ter dois "nomes"?
  • Existe alguma maneira de executair processs em segundo plano no Windows? equivalente nohup paira windows
  • Jenkins puxando do Bonobo Git Serview
  • Windows 2008 R2 reinicia no próprio, sem erros registrados
  • Impressão de um service do Windows em um domínio paira um server de printing em outros domínios do Windows sem confiança
  • Comece o programa na boot do computador quando ninguém estiview logado e mostra a window quando alguém faz logon (SO: Windows)
  • como descobrir o que criou um file?
  • Prevalência do WMI ativado em networkings reais do Windows Serview
  • Clientes do Windows 98 bloqueados durante operações de files com o Serview 2003