检测
分析

登录限制特权用户

语言:

描述

凭据的用户登录到一台机器经常接触内存,让恶意软件窃取他们并模拟用户。特权用户访问敏感的业务数据应该只连接到安全、信任的机器身份盗窃的风险降到最低。技术措施存在执行这一规则,这个指标的验证实施。

解决方案

增加攻击者的困难和恶意软件窃取特权身份及其相关权限,特权用户应该只连接到受信任的机器。在确定特权用户和受信任的机器使用“层模式”,实现技术措施执行登录限制特权用户日常操作期间,即使在发生一个错误。

另请参阅

通知用户工作站弃用

用户正确的:拒绝作为批处理作业登录(SeDenyBatchLogonRight)

用户正确的:拒绝登录作为服务(SeDenyServiceLogonRight)

用户正确的:拒绝登录本地(SeDenyInteractiveLogonRight)

通过远程桌面服务用户正确的:拒绝登录(SeDenyRemoteInteractiveLogonRight)

选择身份验证是如何影响域控制器的行为

用户正确的:拒绝从网络访问这台计算机(SeDenyNetworkLogonRight)

描述选择身份验证(由Windows 2003)

Allowed-To-Authenticate扩展对吧

指标的细节

的名字:登录限制特权用户

代号:C-ADMIN-RESTRICT-AUTH

严重程度:

主教法冠ATT&CK信息:

策略:TA0004

技术:T1078

攻击者已知的工具

安德鲁•罗宾斯(@_wald0) Rohan Vazarkar (@CptJesus),将施罗德(@harmj0y):侦探犬

本杰明deply:Mimikatz

Baidu
map