Sicherheitsbewertung: Ändern des alten Kennworts für das Domänencontrollercomputerkonto
Diese Empfehlung listet alle Computerkonten des Domänencontrollers auf, deren Kennwort zuletzt vor mehr als 45 Tagen festgelegt wurde.
Organisationsrisiko
Ein Domänencontroller (DC) ist ein Server in einer Active Directory-Umgebung (AD), der die Benutzerauthentifizierung und -autorisierung verwaltet, Sicherheitsrichtlinien erzwingt und die AD-Datenbank speichert. Sie verarbeitet Anmeldungen, überprüft Berechtigungen und stellt sicheren Zugriff auf Netzwerkressourcen sicher. Mehrere DOmänencontroller bieten Redundanz für Hochverfügbarkeit.
Domänencontroller mit alten Kennwörtern sind einem erhöhten Risiko einer Kompromittierung ausgesetzt und könnten leichter übernommen werden. Angreifer können veraltete Kennwörter ausnutzen, erhalten längeren Zugriff auf kritische Ressourcen und schwächen die Netzwerksicherheit. Dies könnte auf einen Domänencontroller hinweisen, der in der Domäne nicht mehr funktioniert.
Schritte zur Fehlerbehebung
Registrierungswerte überprüfen:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange ist auf 0 festgelegt oder nicht vorhanden.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge ist auf 30 festgelegt.
Falsche Werte zurücksetzen:
- Setzen Sie alle falschen Werte auf ihre Standardeinstellungen zurück.
- Überprüfen Sie Gruppenrichtlinie Objects (GPOs), um sicherzustellen, dass diese Einstellungen nicht überschrieben werden.
Wenn diese Werte korrekt sind, überprüfen Sie, ob der NETLOGON-Dienst mit sc.exe Abfrage netlogon gestartet wird.
Überprüfen der Kennwortsynchronisierung durch Ausführen von nltest /SC_VERIFY: (domänenname ist der NetBIOS-Domänenname) kann die Synchronisierung status überprüfen und sollte für beide Überprüfungen0 0x0 NERR_Success anzeigen.
Tipp
Weitere Informationen zum Kennwortprozess des Pendlerkontos finden Sie in diesem Blogbeitrag zum Kennwortprozess für Computerkonten.