Honey Account

所需用户角色：本地计算机上的管理员

Honey Account（蜜罐帐户）是一种诱饵帐户，专门用于检测尝试通过 Active Directory 入侵网络的攻击者。

Honey Account 是 Tenable Identity Exposure 的攻击指标检测 Kerberoasting 利用尝试的先决条件。Kerberoasting 通过请求和提取服务票据，然后离线破解服务帐户的凭据来获取对服务帐户的访问权限。当 Honey Account 收到登录尝试或票据请求时，Kerberoasting 攻击指标会发出警报。

您需要为每个域关联一个 Honey Account。Honey Account 与安全配置文件无关。

添加 Honey Account 的步骤：

在 Tenable Identity Exposure 中，点击“系统”>“域管理”。

此时会出现“域管理”窗格。
将鼠标悬停在要添加 Honey Account 的域上。
在“Honey Account 配置状态”下，点击“+”。

此时会出现“添加 Honey Account”窗格。
在“名称”框中，为用户帐户输入要用作 Honey Account 的标识名 (DN)。

提示：如果 Active Directory 中已存在该用户帐户，则您可输入任何字符串，Tenable Identity Exposure 会搜索该用户帐户名称并在下拉框中显示相匹配的名称。
在“部署”部分， Tenable Identity Exposure 会生成一个具有适当设置的脚本，供您运行以便部署 Honey Account。点击以复制此脚本。
单击“添加”。

此时会出现一条消息，确认 Tenable Identity Exposure 已添加 Honey Account。在“域管理”窗格中，所选域的“Honey Account 配置状态”会显示为橙色 ()，表示您必须运行 Honey Account 部署脚本以将其激活。

注意：如果“Honey Account 配置状态”显示为红色 ()，则表示 Tenable Identity Exposure 未在 Active Directory 中找到此用户帐户。您必须创建此用户帐户才能继续进行下一步。
在具有 Active Directory 模块的计算机上的 Windows PowerShell 中，运行您复制的 Honey Account 部署脚本。

在“域管理”窗格中，所选域的“Honey Account 配置状态”会显示为绿色 ()，表示该域处于活动状态。

注意：Tenable Identity Exposure 处理和激活 Honey Account 时可能需要一定时间。

编辑 Honey Account 的步骤：

在 Tenable Identity Exposure 中，点击“系统”>“域管理”。

此时会出现“域管理”窗格。
将鼠标悬停在要添加 Honey Account 的域上。
在“Honey Account 配置状态”下，点击右侧的图标。

此时会出现“编辑 Honey Account”窗格。
在“名称”框中，根据需要修改用户帐户。
在“部署”部分，点击以复制 Honey Account 部署脚本。
单击“编辑”。

此时会出现一条消息，确认 Tenable Identity Exposure 已更新 Honey Account。在“域管理”窗格中，所选域的“Honey Account 配置状态”会显示为橙色 ()，表示您必须运行 Honey Account 部署脚本以将其激活。

注意：如果“Honey Account 配置状态”显示为红色 ()，则表示 Tenable Identity Exposure 未在 Active Directory 中找到此用户帐户。您必须创建此用户帐户才能继续进行下一步。
在具有 Active Directory 模块的计算机上的 Windows PowerShell 中，运行您复制的 Honey Account 部署脚本。

在“域管理”窗格中，所选域的“Honey Account 配置状态”会显示为绿色 ()，表示该域已完成配置。

注意：Tenable Identity Exposure 处理和激活 Honey Account 时可能需要一定时间。

删除 Honey Account 的步骤：

在 Tenable Identity Exposure 中，点击“系统”>“域管理”。

此时会出现“域管理”窗格。
将鼠标悬停在要添加 Honey Account 的域上。
在“Honey Account 配置状态”下，点击右侧的图标。

此时会出现“编辑 Honey Account”窗格。
单击“删除”。

此时会出现一条消息，确认 Tenable Identity Exposure 已删除 Honey Account。

另请参阅

强制在域上执行数据刷新