Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
To zalecenie zawiera listę wszystkich kont komputerów kontrolera domeny z hasłem ostatnio ustawionym ponad 45 dni temu.
Ryzyko organizacji
Kontroler domeny (DC) to serwer w środowisku usługi Active Directory (AD), który zarządza uwierzytelnianiem i autoryzacją użytkowników, wymusza zasady zabezpieczeń i przechowuje bazę danych usługi AD. Obsługuje ona logowania, weryfikuje uprawnienia i zapewnia bezpieczny dostęp do zasobów sieciowych. Wiele kontrolerów domeny zapewnia nadmiarowość w celu zapewnienia wysokiej dostępności.
Kontrolery domeny ze starymi hasłami są narażone na zwiększone ryzyko naruszenia zabezpieczeń i można je łatwiej przejąć. Osoby atakujące mogą wykorzystywać nieaktualne hasła, uzyskując długotrwały dostęp do krytycznych zasobów i osłabiając bezpieczeństwo sieci. Może wskazywać kontroler domeny, który nie działa już w domenie.
Kroki korygowania
Sprawdź wartości rejestru:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange ma wartość 0 lub nie istnieje.
Wartość HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge wynosi 30.
Resetuj nieprawidłowe wartości:
- Zresetuj wszystkie nieprawidłowe wartości do ustawień domyślnych.
- Sprawdź, zasady grupy Obiekty (GPO), aby upewnić się, że nie zastępują tych ustawień.
Jeśli te wartości są poprawne, sprawdź, czy usługa NETLOGON została uruchomiona z sc.exe kwerendy netlogon.
Zweryfikuj synchronizację haseł, uruchamiając polecenie nltest /SC_VERIFY: (nazwa domeny jest nazwą netBIOS domeny) może sprawdzić stan synchronizacji i powinna zostać wyświetlona 0 0x0 NERR_Success dla obu weryfikacji.
Porada
Aby uzyskać więcej informacji na temat procesu haseł konta podmiejskiego, zapoznaj się z tym wpisem w blogu dotyczącym procesu haseł kont maszyn.
Następne kroki
Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft