Compartir a través de

Evaluación de seguridad: cambiar la contraseña antigua de la cuenta de equipo del controlador de dominio

  • Artículo

En esta recomendación se enumeran todas las cuentas de equipo del controlador de dominio con la contraseña establecida por última vez hace más de 45 días.

Riesgo de la organización

Un controlador de dominio (DC) es un servidor en un entorno de Active Directory (AD) que administra la autenticación y autorización del usuario, aplica directivas de seguridad y almacena la base de datos de AD. Controla los inicios de sesión, comprueba los permisos y garantiza el acceso seguro a los recursos de red. Varios controladores de dominio proporcionan redundancia para la alta disponibilidad.
Los controladores de dominio con contraseñas antiguas corren un alto riesgo de peligro y podrían hacerse cargo más fácilmente. Los atacantes pueden aprovechar las contraseñas obsoletas, obteniendo acceso prolongado a recursos críticos y debilitando la seguridad de la red. Podría indicar un controlador de dominio que ya no funciona en el dominio.

Pasos de corrección

  1. Compruebe los valores del Registro:

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange está establecido en 0 o es inexistente. 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge está establecido en 30. 

  2. Restablecer valores incorrectos:

    • Restablezca los valores incorrectos a su configuración predeterminada. 
    • Compruebe directiva de grupo Objetos (GPO) para asegurarse de que no invalidan esta configuración. 

  3. Si estos valores son correctos, compruebe si el servicio NETLOGON se inicia con sc.exe netlogon de consulta. 

  4. Validar la sincronización de contraseñas mediante la ejecución de nltest /SC_VERIFY: (con DomainName como nombre netBIOS de dominio) puede comprobar el estado de sincronización y debe mostrar0 0x0 NERR_Success para ambas comprobaciones.

Sugerencia

Para obtener más información sobre el proceso de contraseña de la cuenta de conmutación por trabajo, consulte esta entrada de blog sobre el proceso de contraseña de las cuentas de equipo.

Pasos siguientes

Más información sobre la puntuación segura de Microsoft