樹系

Active Directory (AD) 樹系是共用通用結構描述、設定和信任關係的網域集合。這個樹系提供階層式結構來管理和組織資源，能夠在組織內實現跨多個網域進行集中管理和安全驗證。

管理樹系

如要新增樹系：

1. 在 Tenable Identity Exposure 中，按一下「系統」>「樹系管理」。

2. 按一下右側的「新增樹系」。

   「新增樹系」窗格會隨即顯示。

3. 在「名稱」方塊中輸入樹系的名稱。

4. 在「帳戶」區段中，為 Tenable Identity Exposure 使用的服務帳戶提供下列內容：
   • 登入：輸入服務帳戶的名稱。
   格式：使用主體名稱，例如「[email protected]」(與 Kerberos 驗證 相容時建議使用)，或使用 NetBIOS，例如「DomainNetBIOSName\SamAccountName」。
   • 密碼：輸入服務帳戶的密碼。
注意：如果您必須將 Tenable Identity Exposure 的 AD 服務帳戶設定為受保護的使用者群組成員，請確認您的 Tenable Identity Exposure 設定支援 Kerberos 驗證，因為受保護的使用者無法使用 NTLM 驗證。

5. 按一下「新增」。

   系統會顯示一則訊息，確認已新增樹系。

如要編輯樹系：

1. 在 Tenable Identity Exposure 中，按一下「系統」>「樹系管理」。

2. 在樹系清單中，將游標停留在要修改的樹系上，按一下右側的 圖示。

   「編輯樹系」窗格會隨即顯示。

3. 視需要進行修改。

4. 按一下「編輯」。

   系統會顯示一則訊息，確認 Tenable Identity Exposure 已更新樹系。

保護服務帳戶

Tenable 建議保護服務帳戶，以維護安全性，方法是將使用者帳戶控制 (UAC) 屬性正確設定為防止委派、要求預先驗證、使用更強的加密、強制執行密碼到期和要求，以及允許經授權的密碼變更。這些措施可減輕未經授權存取和潛在安全缺口的風險，確保組織系統和資料的完整性。

如要使用 Windows 原則編輯器修改設定：

您可以透過適當的系統管理權限，使用 Windows 的本機安全性原則編輯器或群組原則編輯器修改使用者帳戶控制設定。

• 在編輯器中，導覽至「本機原則」->「安全性選項」，找到並設定下列設定 (可能會因您的 Windows 版本而有所不同)：

  • 「網路存取：不允許儲存網路驗證的密碼和憑證」：將其設定為「啟用」。

  • 「帳戶：不需要 Kerberos 預先驗證」：將其設定為「停用」。

  • 「網路安全性：設定 Kerberos 允許的加密類型」：確認 未選取「針對此帳戶使用 Kerberos DES 加密類型」選項。

  • 「帳戶：密碼最長使用期限」：設定密碼到期期間 (例如，30、60 或 90 天，使 PasswordNeverExpires = FALSE)。

  • 「帳戶：將本機帳戶使用空白密碼限制為僅限主控台登入」：將其設定為「停用」。

  • 「互動式登入：要快取的先前登入次數 (在網域控制器無法使用的情況下)」：設定所需的值，例如「10」以允許使用者變更其密碼。

如要使用 Powershell 修改設定：

• 在託管 AD 的電腦上，以適當的系統管理權限開啟 PowerShell 並執行下列命令：

複製

Set-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false

其中 <AD_ACCOUNT> 是您要修改的 Active Directory 帳戶名稱。