为什么要禁用本地帐户的网络登录？

该问题是针对@SwiftOnSecurity的Twitter线程的：https ://twitter.com/SwiftOnSecurity/status/655208224572882944

阅读完该线程后，我仍然不太明白为什么您要禁用本地帐户的网络登录。

所以这就是我的想法，请在错误之处纠正我：

假设我有一个具有DC和多个客户端的AD。客户之一是约翰。因此，早上，约翰开始工作，并使用AD凭据登录到台式机。中午，John出去开会，并“锁定”他的计算机（Windows + L）。然后，他需要使用个人笔记本电脑远程（通过RDP或其他方式）连接到办公室的PC。但是，使用这项新政策，他将无法做到。

Securitay给出的解释是密码不固定。但是，在这种情况下，攻击者将如何获得访问权限？密码不固定在哪一端？还是我心目中的情况与她想说的完全无关？如果是这样，她实际上想说什么？

允许本地帐户的网络登录是危险的，并且是不良的安全实践。对于管理员组成员，我实际上将其描述为过失。它允许横向移动，并且由于帐户登录不是集中记录（在域控制器上），因此很难检测和审核。

为了缓解这种威胁，Microsoft实际上创建了两个新的内置安全标识符，以添加到“拒绝从网络访问此计算机”用户权限中：

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group  

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

不，您的示例方案不正确。如果他使用AD凭据登录，一切都很好。问题出在本地帐户上，即在单个计算机上创建且仅存在于本地计算机上的帐户。例如，。\ Administrator，但这适用于计算机域（COMPUTERNAME \ USERNAME）中的任何帐户。AIUI的安全风险是，如果本地帐户（例如本地管理员）在多台计算机上共享相同的密码，则有可能从计算机中提取密码哈希，并在某些情况下将哈希重复使用（作为恶意软件的侵扰）或其他攻击者）在计算机之间横向移动。