Condividi tramite

Valutazione della sicurezza: modificare la password precedente dell'account computer del controller di dominio

  • Articolo

Questa raccomandazione elenca tutti gli account computer del controller di dominio con password impostata per l'ultima volta oltre 45 giorni fa.

Rischio dell'organizzazione

Un controller di dominio (DC) è un server in un ambiente Active Directory (AD) che gestisce l'autenticazione e l'autorizzazione degli utenti, applica i criteri di sicurezza e archivia il database DI Active Directory. Gestisce gli account di accesso, verifica le autorizzazioni e garantisce l'accesso sicuro alle risorse di rete. Più controller di dominio offrono ridondanza per la disponibilità elevata.
I controller di dominio con password precedenti sono a maggior rischio di compromissione e potrebbero essere acquisiti più facilmente. Gli utenti malintenzionati possono sfruttare password obsolete, ottenendo l'accesso prolungato alle risorse critiche e indebolendo la sicurezza di rete. Potrebbe indicare un controller di dominio che non funziona più nel dominio.

Passaggi di correzione

  1. Verificare i valori del Registro di sistema:

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange è impostato su 0 o è inesistente. 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge è impostato su 30. 

  2. Reimpostare i valori non corretti:

    • Reimpostare i valori non corretti nelle impostazioni predefinite. 
    • Controllare Criteri di gruppo Oggetti Criteri di gruppo per assicurarsi che non eseguano l'override di queste impostazioni. 

  3. Se questi valori sono corretti, verificare se il servizio NETLOGON viene avviato con sc.exe query netlogon. 

  4. Convalidare la sincronizzazione delle password eseguendo nltest /SC_VERIFY: (con DomainName come nome NetBIOS del dominio) può controllare lo stato di sincronizzazione e deve visualizzare0 0x0 NERR_Success per entrambe le verifiche.

Consiglio

Per altre informazioni sul processo di password dell'account pendolare, vedere questo post di blog sul processo di password degli account computer.

Passaggi successivi

Altre informazioni su Microsoft Secure Score