Udostępnij za pośrednictwem


Ocena zabezpieczeń: zmienianie starego hasła konta komputera kontrolera domeny

To zalecenie zawiera listę wszystkich kont komputerów kontrolera domeny z hasłem ustawionym ostatnio ponad 45 dni temu.

Ryzyko związane z organizacją

Kontroler domeny (DC) to serwer w środowisku usługi Active Directory (AD), który zarządza uwierzytelnianiem i autoryzacją użytkownika, wymusza zasady zabezpieczeń i przechowuje bazę danych usługi AD. Obsługuje logowania, weryfikuje uprawnienia i zapewnia bezpieczny dostęp do zasobów sieciowych. Wiele kontrolerów domeny zapewnia nadmiarowość w celu zapewnienia wysokiej dostępności.
Kontrolery domeny ze starymi hasłami są narażone na ryzyko naruszenia zabezpieczeń i mogą być łatwiejsze do przejęcia. Osoby atakujące mogą wykorzystywać nieaktualne hasła, uzyskując długotrwały dostęp do krytycznych zasobów i osłabiając zabezpieczenia sieci. Może to wskazywać kontroler domeny, który nie działa już w domenie.

Kroki rozwiązania problemu

  1. Sprawdź wartości rejestru:

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange jest ustawiona na wartość 0 lub nie istnieje. 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge ma ustawioną wartość 30. 

  2. Resetuj nieprawidłowe wartości:

    • Zresetuj wszystkie nieprawidłowe wartości do ustawień domyślnych. 
    • Sprawdź obiekty zasad grupy (GPO), aby upewnić się, że nie zastępują tych ustawień. 
  3. Jeśli te wartości są poprawne, sprawdź, czy usługa NETLOGON została uruchomiona z sc.exe netlogon zapytania. 

  4. Zweryfikuj synchronizację haseł, uruchamiając polecenie nltest /SC_VERIFY: (z nazwą domeny NetBIOS domeny) może sprawdzić stan synchronizacji i powinien wyświetlić0 0x0 NERR_Success dla obu weryfikacji.

Napiwek

Aby uzyskać więcej informacji na temat procesu haseł konta podmiejskiego, zapoznaj się z tym wpisem w blogu dotyczącym procesu haseł kont komputera.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft