特權使用者的登入限制
high
語系:
說明
使用者登入裝置時,其憑證經常會在記憶體內部曝險,惡意軟體可以竊取憑證並假冒使用者。具有機密商業資料存取權的特權使用者應僅連線至安全、受信任的裝置,將身分識別資訊遭竊的風險降至最低。運用現有的技術措施執行此規則,並使用此曝險指標驗證其實作。
解決方案
為了使攻擊者和惡意軟體更難竊取特權身分識別資訊及其相關權限,特權使用者應僅連線至受信任的裝置。判定特權使用者與受信任的裝置使用「層級模型」後,建置技術措施以在日常操作中強制執行針對特權使用者的登入限制,即便發生錯誤亦然。
另請參閱
使用者權限:拒絕登入為批次工作 (SeDenyBatchLogonRight)
使用者權限:拒絕登入為服務 (SeDenyServiceLogonRight)
使用者權限:拒絕本機登入 (SeDenyInteractiveLogonRight)
使用者權限:拒絕透過「遠端桌面服務」登入 (SeDenyRemoteInteractiveLogonRight)
指標詳細資料
名稱: 特權使用者的登入限制
代碼名稱: C-ADMIN-RESTRICT-AUTH
嚴重性: High
手法: TA0004
技術: T1078
攻擊者已知工具
Benjamin Delpy: Mimikatz
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound