Jaa

Suojausarviointi: Vaihda toimialueen ohjauskoneen tietokonetilin vanha salasana

  • Artikkeli

Tässä suosituksessa luetellaan kaikki toimialueen ohjauskoneen tietokonetilit, joiden salasana on viimeksi asetettu yli 45 päivää sitten.

Organisaation riski

Toimialueen ohjauskone (DC) on Active Directory (AD) -ympäristössä oleva palvelin, joka hallitsee käyttäjän todentamista ja käyttöoikeuksien vahvistamista, valvoo suojauskäytäntöjä ja tallentaa AD-tietokannan. Se käsittelee kirjautumiset, tarkistaa käyttöoikeudet ja varmistaa verkkoresurssien suojatun käytön. Useat DCs-tietokoneet tarjoavat redundanssin korkeaa käytettävyyttä varten.
Toimialueen ohjauskoneilla, joilla on vanhat salasanat, on suurempi kompromissiriski, ja ne voidaan ottaa helpommin haltuun. Hyökkääjät voivat hyödyntää vanhentuneita salasanoja, saada pitkäaikaisen pääsyn kriittisiin resursseihin ja heikentää verkon suojausta. Se voi ilmaista toimialueen ohjauskoneen, joka ei enää toimi toimialueella.

Korjausvaiheet

  1. Tarkista rekisteriarvot:

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange-arvo on 0, tai sitä ei ole. 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge on 30. 

  2. Palauta virheelliset arvot:

    • Palauta virheelliset arvot oletusasetuksiksi. 
    • Tarkista, ryhmäkäytäntö objektit (GPO) eivät ohita näitä asetuksia. 

  3. Jos nämä arvot ovat oikein, tarkista, onko NETLOGON-palvelu käynnistetty sc.exe kysely netlogonilla. 

  4. Vahvista salasanasykronointi suorittamalla nltest /SC_VERIFY: (toimialueen Nimi on NetBIOS-toimialue) voi tarkistaa synkronoinnin tilan ja näyttää 0 0x0 NERR_Success kummallekin tarkistukselle.

Vihje

Lisätietoja työmatkatilin salasanaprosessista on tässä blogikirjoituksessa, jossa käsitellään tietokonetilien salasanaprosessia.

Seuraavat vaiheet

Lue lisätietoja Microsoftin suojauspisteistä