Partager via

Évaluation de la sécurité : Modifier l’ancien mot de passe du compte d’ordinateur du contrôleur de domaine

  • Article

Cette recommandation répertorie tous les comptes d’ordinateur du contrôleur de domaine dont le mot de passe a été défini pour la dernière fois il y a 45 jours.

Risque de l’organisation

Un contrôleur de domaine (DC) est un serveur dans un environnement Active Directory (AD) qui gère l’authentification et l’autorisation des utilisateurs, applique les stratégies de sécurité et stocke la base de données AD. Il gère les connexions, vérifie les autorisations et garantit un accès sécurisé aux ressources réseau. Plusieurs contrôleurs de domaine fournissent une redondance pour la haute disponibilité.
Les contrôleurs de domaine avec d’anciens mots de passe présentent un risque accru de compromission et peuvent être plus facilement pris en charge. Les attaquants peuvent exploiter des mots de passe obsolètes, obtenir un accès prolongé aux ressources critiques et affaiblir la sécurité réseau. Il peut indiquer un contrôleur de domaine qui ne fonctionne plus dans le domaine.

Procédure de correction

  1. Vérifiez les valeurs du Registre :

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange a la valeur 0 ou est inexistant. 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge est défini sur 30. 

  2. Réinitialiser les valeurs incorrectes :

    • Réinitialisez les valeurs incorrectes à leurs paramètres par défaut. 
    • Vérifiez stratégie de groupe Objects (GPO) pour vous assurer qu’ils ne remplacent pas ces paramètres. 

  3. Si ces valeurs sont correctes, case activée si le service NETLOGON est démarré avec sc.exe requête netlogon. 

  4. Valider la synchronisation de mot de passe en exécutant nltest /SC_VERIFY : (nom_domaine étant le nom NetBIOS du domaine) peut case activée le status de synchronisation et doit afficher0 0x0 NERR_Success pour les deux vérifications.

Conseil

Pour plus d’informations sur le processus de mot de passe du compte de banlieue case activée ce billet de blog sur le processus de mot de passe des comptes d’ordinateur.

Étapes suivantes

En savoir plus sur le niveau de sécurité Microsoft