Sikkerhedsvurdering: Skift den gamle adgangskode til domænecontrollercomputerkontoen
Denne anbefaling viser alle domænecontrollerens computerkonti med adgangskode, der sidst blev angivet for 45 dage siden.
Organisationsrisiko
En domænecontroller (DC) er en server i et Active Directory-miljø (AD), der administrerer brugergodkendelse og -godkendelse, gennemtvinger sikkerhedspolitikker og gemmer AD-databasen. Den håndterer logon, kontrollerer tilladelser og sikrer sikker adgang til netværksressourcer. Flere DCs giver redundans for høj tilgængelighed.
Domænecontrollere med gamle adgangskoder er i øget risiko for kompromis og kan nemmere overtages. Hackere kan udnytte forældede adgangskoder og dermed opnå længerevarende adgang til kritiske ressourcer og svække netværkssikkerheden. Det kan indikere, at en domænecontroller ikke længere fungerer i domænet.
Afhjælpningstrin
Bekræft registreringsdatabaseværdier:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange er indstillet til 0 eller ikke eksisterer.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge er indstillet til 30.
Nulstil forkerte værdier:
- Nulstil eventuelle forkerte værdier til deres standardindstillinger.
- Kontrollér Gruppepolitik objekter for at sikre, at de ikke tilsidesætter disse indstillinger.
Hvis disse værdier er korrekte, skal du kontrollere, om NETLOGON-tjenesten er startet med sc.exe query netlogon.
Valider synkronisering af adgangskode ved at køre nltest /SC_VERIFY: (hvor DomainName er domænets NetBIOS-navn) kan kontrollere synkroniseringsstatussen og bør vise0 0x0 NERR_Success for begge bekræftelser.
Tip
Du kan få flere oplysninger om pendlerkontoens adgangskodeproces i dette blogindlæg om adgangskodeprocessen for computerkonti.