Windows域帐户被盗之后该怎么办？

我们正在为一个域中的一个帐户被盗用的情况做准备，下一步该怎么做？

禁用该帐户是我的第一个解决方法，但是几周前我们在这里有渗透测试者，他们可以使用几个月前离开的管理员用户的哈希登录名。

到目前为止，我们的两个答案是：

1. 删除帐户并重新创建（创建新的SID，但也为用户提供更多服务并为我们工作）
2. 至少更改密码3次并禁用该帐户

您的方法是什么，或者您会建议什么？

如果仅破坏了标准用户帐户，则只需更改一次密码并启用该帐户即可。密码更改后，哈希将不起作用。如果帐户被禁用，它也将不起作用。我自己作为笔测试人员，我想知道笔测试人员是否正在使用Kerberos票证。在某些情况下，如果更改了密码，或者帐户被禁用甚至被删除，这些都可以继续工作（请参阅缓解措施链接）。

如果域管理员帐户已被盗用，那么从字面上看，游戏结束了。您需要使您的域脱机，并更改每个密码。此外，还需要两次更改krbtgt帐户密码，否则攻击者仍将能够使用他们已窃取的信息来发布有效的Kerberos票证。完成所有这些操作后，您就可以将域恢复在线状态。

实施帐户锁定策略，以便无法猜测已更改的密码。不要重命名您的帐户。攻击者可以轻松找出登录名。

另一个要点是培训用户。他们可能做出了不明智的举动，这意味着该帐户已被盗用。攻击者甚至可能不知道密码，他们可能只是以该帐户的身份运行进程。例如，如果您打开允许攻击者访问您的计算机的恶意软件附件，则这些附件将作为您的帐户运行。他们不知道您的密码。除非您是管理员，否则他们无法获取您的密码哈希。不要让用户在其工作站上以本地管理员身份运行。永远不要让域管理员以域管理员权限登录到工作站！

有关更多信息/缓解的链接：

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/zh-CN/training-courses/how-to-avoid-golden-ticket-attacks-12134

他们能够使用几个月前离开的管理员用户的哈希登录。

被窃取的凭据哈希不适用于已禁用的帐户，除非它位于未连接到网络的计算机上。该过程仍然需要请求票证或通过域控制器进行身份验证。如果帐户被禁用，则无法执行此操作。

您需要为离职员工禁用离职后的管理帐户。

假设使用标准用户帐户，您可能需要考虑：

1. 修改密码。
2. 禁用帐户。
3. 重命名该帐户（用户名可疑）并为受影响的用户创建一个新帐户。
4. 将可疑帐户添加到“禁用/受损用户”安全组。

对于＃4，已经有执行以下操作的组策略：

• 拒绝从网络访问此计算机：“禁用/受损的用户”
• 拒绝通过远程桌面服务登录：“禁用/受损的用户”
• 拒绝本地登录：“禁用/受损用户”

对于域管理员帐户，您的整个网络都是敬酒的。