Posouzení zabezpečení: Změna starého hesla účtu počítače řadiče domény
Toto doporučení uvádí seznam všech účtů počítačů řadiče domény s heslem, které bylo naposledy nastaveno před více než 45 dny.
Organizační riziko
Řadič domény (DC) je server v prostředí Služby Active Directory (AD), který spravuje ověřování a autorizaci uživatelů, vynucuje zásady zabezpečení a ukládá databázi AD. Zpracovává přihlášení, ověřuje oprávnění a zajišťuje zabezpečený přístup k síťovým prostředkům. Několik řadičů domény poskytuje redundanci pro zajištění vysoké dostupnosti.
Řadiče domény se starými hesly jsou vystaveny zvýšenému riziku ohrožení zabezpečení a je možné je snadněji převzít. Útočníci můžou zneužít zastaralá hesla, získat prodloužený přístup k důležitým prostředkům a oslabit zabezpečení sítě. Mohlo by to znamenat řadič domény, který už v doméně nefunguje.
Nápravné kroky
Ověřte hodnoty registru:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange je nastavená na hodnotu 0 nebo neexistuje.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge je nastavená na 30.
Resetovat nesprávné hodnoty:
- Obnovte všechny nesprávné hodnoty do výchozího nastavení.
- Zkontrolujte objekty Zásady skupiny (GPO) a ujistěte se, že tato nastavení nepřepíší.
Pokud jsou tyto hodnoty správné, zkontrolujte, jestli je služba NETLOGON spuštěná s sc.exe dotazem netlogon.
Ověřte synchronizaci hesel spuštěním příkazu nltest /SC_VERIFY: (název_domény je název_domény pro rozhraní NetBIOS) může zkontrolovat stav synchronizace a měla by se zobrazit 0 0x0 NERR_Success pro obě ověření.
Tip
Další informace o procesu hesla účtu dojížděce najdete v tomto blogovém příspěvku o procesu hesla účtů počítače.