獲允許將電腦加入網域的使用者

根據預設，所有特權或非特權使用者皆可將電腦新增至網域，並在 Active Directory 中建立新電腦帳戶。若此電腦具有機密資訊，則可能會產生安全風險，且新增該電腦的使用者仍會具有其權限，並可建立後門程式。此功能亦可簡化入侵弱點的過程 (CVE-2021-42278/CVE-2021-42287)。建議您停用此功能，並驗證使用此功能新增的現有電腦。
此 sAMAccountName 假冒​攻擊指標可偵測攻擊，但不會取代修正問題。

確定並非所有人都可以透過修改有風險的 ms-DS-MachineAccountQuota 屬性 (也稱為「MachineAccountQuota」) 的預設值將電腦加入 Active Directory 網域，以便僅授權指定的管理員。此外，某些現有電腦可能已透過未經授權的方式新增至網域中。針對此類情況，必須重新安裝這些電腦並套用組織的 Windows 主檔案。此做法雖會耗費成本，但請務必考量這些電腦所暴露的潛在風險，其可能缺乏適當的安全強化措施或內含隱藏的後門程式，可能會讓網域容易遭受攻擊。

名稱: 獲允許將電腦加入網域的使用者

代碼名稱: C-USERS-CAN-JOIN-COMPUTERS

嚴重性: Medium

類型: Active Directory Indicator of Exposure

Family: 原則和設定