誘捕帳戶
誘捕帳戶是一個誘餌帳戶,其唯一的目的是偵測試圖透過 Active Directory 入侵網路的攻擊者。
這是 Tenable Identity Exposure 的攻擊指標偵測 Kerberoasting 攻擊的先決條件,此攻擊會要求和擷取服務工單,然後離線破解服務帳戶的憑證,藉此取得服務帳戶的存取權。當誘捕帳戶收到登錄嘗試或工單要求時,Kerberoasting 攻擊指標會發出警警示。
您可以為每個網域關聯一個誘捕帳戶。誘捕帳戶與安全性設定檔無關。
如要新增誘捕帳戶:
-
在 Tenable Identity Exposure 中,按一下「系統」>「網域管理」。
「網域管理」窗格會隨即顯示。
-
將游標停留在您要新增誘捕帳戶的網域上。
-
在「誘捕帳戶設定狀態」下面,按一下 +。
「新增誘捕帳戶」窗格隨即顯示。
-
在「名稱」方塊中,為使用者帳戶輸入要作為誘捕帳戶使用的辨別名稱 (DN)。
提示:您可以輸入任何字串,如果 Active Directory 中已有此使用者帳戶,則 Tenable Identity Exposure 會在下拉式方塊中搜尋並顯示符合的使用者帳戶名稱。
-
在「部署」區段中,Tenable Identity Exposure 會產生一個具有適當設定的指令碼,您可以在部署誘捕帳戶時執行此指令碼。按一下
以複製此指令碼。 -
按一下「新增」。
系統會顯示一則訊息,確認 Tenable Identity Exposure 已新增誘捕帳戶。在「網域管理」窗格中,所選網域的「誘捕帳戶設定狀態」顯示為橙色 (
),表示您必須執行誘捕帳戶部署指令碼才能將其啟動。注意:如果「誘捕帳戶設定狀態」顯示為紅色 (
),則表示 Tenable Identity Exposure 未在 Active Directory 中找到此使用者帳戶。您必須建立此使用者帳戶,然後繼續執行下一步。 -
在具有 Active Directory 模組的電腦上,在 Windows PowerShell 中執行您複製的誘捕帳戶部署指令碼。
在「網域管理」窗格中,所選網域的「誘捕帳戶設定狀態」會顯示為綠色 (
),表示其處於作用中狀態。注意:Tenable Identity Exposure 可能需要一些時間來處理和啟動誘捕帳戶。
如要編輯誘捕帳戶:
-
在 Tenable Identity Exposure 中,按一下「系統」>「網域管理」。
「網域管理」窗格會隨即顯示。
-
將游標停留在您要新增誘捕帳戶的網域上。
-
在「誘捕帳戶設定狀態」下面,按一下右側的
圖示。「編輯誘捕帳戶」窗格會隨即顯示。
-
在「名稱」方塊中,視需要修改使用者帳戶。
-
在「部署」區段中,按一下
以複製誘捕帳戶部署指令碼。 -
按一下「編輯」。
系統會顯示一則訊息,確認 Tenable Identity Exposure 已更新誘捕帳戶。在「網域管理」窗格中,所選網域的「誘捕帳戶設定狀態」顯示為橙色 (
),表示您必須執行誘捕帳戶部署指令碼才能將其啟動。注意:如果「誘捕帳戶設定狀態」顯示為紅色 (
),則表示 Tenable Identity Exposure 未在 Active Directory 中找到此使用者帳戶。您必須建立此使用者帳戶,然後繼續執行下一步。 -
在具有 Active Directory 模組的電腦上,在 Windows PowerShell 中執行您複製的誘捕帳戶部署指令碼。
在「網域管理」窗格中,所選網域的「誘捕帳戶設定狀態」會顯示為綠色 (
),表示其已完成設定。注意:Tenable Identity Exposure 可能需要一些時間來處理和啟動誘捕帳戶。
如要刪除誘捕帳戶:
-
在 Tenable Identity Exposure 中,按一下「系統」>「網域管理」。
「網域管理」窗格會隨即顯示。
-
將游標停留在您要新增誘捕帳戶的網域上。
-
在「誘捕帳戶設定狀態」下面,按一下右側的
圖示。「編輯誘捕帳戶」窗格會隨即顯示。
-
按一下「刪除」。
系統會顯示一則訊息,確認 Tenable Identity Exposure 已刪除誘捕帳戶。
另請參閱