次の方法で共有

セキュリティ評価: ドメイン コントローラー コンピューター アカウントの古いパスワードを変更する

  • [アーティクル]

この推奨事項では、45 日前にパスワードが最後に設定されたすべてのドメイン コントローラーのコンピューター アカウントが一覧表示されます。

組織のリスク

ドメイン コントローラー (DC) は、ユーザーの認証と承認を管理し、セキュリティ ポリシーを適用し、AD データベースを格納する Active Directory (AD) 環境のサーバーです。 ログインを処理し、アクセス許可を検証し、ネットワーク リソースへの安全なアクセスを確保します。 複数の DC により、高可用性のための冗長性が提供されます。
古いパスワードを持つドメイン コントローラーは、侵害のリスクが高まり、より簡単に引き継がれる可能性があります。 攻撃者は古いパスワードを悪用し、重要なリソースへの長時間のアクセスを取得し、ネットワーク セキュリティを弱めることができます。 ドメインで機能しなくなったドメイン コントローラーを示している可能性があります。

修復手順

  1. レジストリ値の確認:

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange は 0 に設定されているか、存在しません。 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge は 30 に設定されています。 

  2. 正しくない値をリセットする:

    • 正しくない値を既定の設定にリセットします。 
    • オブジェクト (GPO) グループ ポリシーチェックして、これらの設定をオーバーライドしないことを確認します。 

  3. これらの値が正しい場合は、NETLOGON サービスがクエリ netlogon で開始されているかどうかを sc.exe チェックします。 

  4. nltest /SC_VERIFY を実行してパスワード同期を検証する: (ドメイン名がドメイン NetBIOS 名である) は同期状態をチェックでき、両方の検証に対して0x0 NERR_Successが 0 個表示されます。

ヒント

コミューターアカウントのパスワードプロセスの詳細については、このブログ記事チェックマシンアカウントのパスワードプロセスに関するブログ記事を参照してください。

次の手順

Microsoft セキュリティ スコアの詳細