我已執行 Purple Knight 來查看我們的 Active Directory(兩個執行 Windows Server 2019 的 DC)中是否有需要變更的內容。這些元素之一是“定義了 SPN 的特權用戶”
此指示器尋找 adminCount 屬性設定為 1 且在帳戶上定義的 ServicePrincipalNames (SPN) 的帳戶。一般來說,特權帳戶不應定義 SPN,因為這會使它們成為基於 Kerberos 的攻擊的目標,這些攻擊可以提升這些帳戶的特權。
然而,發現的帳戶不是普通用戶,而是計算機。一個是我們的主 DC(之前也運行 Exchange),另一個是我們的 Exchange 2019 伺服器。
我找不到任何訊息電腦帳戶應該有管理計數設置,但在大膽地將值從 1 更改為 0,然後去度假兩週之前,我想我應該問有多少人認為這是一個好主意;-)