Для защиты компьютера в доменной среде от несанкционированного доступа рекомендуется:

• Ограничить административные привилегии. 1 Нужно предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач. 1
• Использовать двухфакторную аутентификацию для учётных записей администраторов домена. 1
• Запретить использование обезличенных общих административных аккаунтов. 1 Все аккаунты администраторов должны быть персонифицированы. 1
• Не запускать сервисы под учётными записями администраторов. 1 Желательно использовать выделенные учётные записи или Managed Service Accounts. 1
• Обеспечить достаточную длину и сложность пароля как для пользователей, так и для администраторов. 1
• Запретить доступ по сети с помощью локальных учётных записей и удалённый вход по RDP групповыми политиками. 1
• Отключить неиспользуемые учётные записи службы. 4 Если они больше не нужны в среде, их следует отключить. 4

Для централизованного управления паролями локальных администраторов в доменной инфраструктуре рекомендуется использовать Local Administrator Password Solution (LAPS). 5 С его помощью можно настроить автоматическую генерацию паролей локальных администраторов для каждого узла в домене, а также установить расписание их смены. 5

Для более комплексной защиты компьютера в доменной среде рекомендуется обратиться к специалисту.