Ocena zabezpieczeń: zmienianie starego hasła konta komputera kontrolera domeny
To zalecenie zawiera listę wszystkich kont komputerów kontrolera domeny z hasłem ustawionym ostatnio ponad 45 dni temu.
Ryzyko związane z organizacją
Kontroler domeny (DC) to serwer w środowisku usługi Active Directory (AD), który zarządza uwierzytelnianiem i autoryzacją użytkownika, wymusza zasady zabezpieczeń i przechowuje bazę danych usługi AD. Obsługuje logowania, weryfikuje uprawnienia i zapewnia bezpieczny dostęp do zasobów sieciowych. Wiele kontrolerów domeny zapewnia nadmiarowość w celu zapewnienia wysokiej dostępności.
Kontrolery domeny ze starymi hasłami są narażone na ryzyko naruszenia zabezpieczeń i mogą być łatwiejsze do przejęcia. Osoby atakujące mogą wykorzystywać nieaktualne hasła, uzyskując długotrwały dostęp do krytycznych zasobów i osłabiając zabezpieczenia sieci. Może to wskazywać kontroler domeny, który nie działa już w domenie.
Kroki rozwiązania problemu
Sprawdź wartości rejestru:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange jest ustawiona na wartość 0 lub nie istnieje.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge ma ustawioną wartość 30.
Resetuj nieprawidłowe wartości:
- Zresetuj wszystkie nieprawidłowe wartości do ustawień domyślnych.
- Sprawdź obiekty zasad grupy (GPO), aby upewnić się, że nie zastępują tych ustawień.
Jeśli te wartości są poprawne, sprawdź, czy usługa NETLOGON została uruchomiona z sc.exe netlogon zapytania.
Zweryfikuj synchronizację haseł, uruchamiając polecenie nltest /SC_VERIFY: (z nazwą domeny NetBIOS domeny) może sprawdzić stan synchronizacji i powinien wyświetlić0 0x0 NERR_Success dla obu weryfikacji.
Napiwek
Aby uzyskać więcej informacji na temat procesu haseł konta podmiejskiego, zapoznaj się z tym wpisem w blogu dotyczącym procesu haseł kont komputera.
Następne kroki
Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft