次の方法で共有

セキュリティ評価: ドメイン コントローラー コンピューター アカウントの古いパスワードを変更する

  • [アーティクル]

この推奨事項には、パスワードが最後に設定されてから 45 日以上が経過している、ドメイン コントローラーのコンピューター アカウントの一覧が示されます。

組織のリスク

ドメイン コントローラー (DC) は、Active Directory (AD) 環境内のサーバーであり、ユーザーの認証と承認の管理、セキュリティ ポリシーの適用、AD データベースの格納を行います。 また、ログインの処理、アクセス許可の検証、ネットワーク リソースへの安全なアクセスの確保も行います。 複数の DC による冗長性は、高可用性につながります。
ドメイン コントローラーに古いパスワードが設定されていると、侵害のリスクが高まり、侵害されやすくなる可能性があります。 攻撃者は古いパスワードを悪用することで、ネットワーク セキュリティを弱めて、重要なリソースに長時間アクセスすることができます。 この状態になると、ドメイン コントローラーがドメイン内で正常に機能しているとは言えません。

修復手順

  1. 以下のレジストリ値を確認します。

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange が 0 に設定されているか、存在しないこと。 

    • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge が 30 に設定されていること。 

  2. 正しくない値をリセットします。

    • 正しくない値を既定の設定にリセットします。 
    • グループ ポリシー オブジェクト (GPO) をチェックして、これらの設定がオーバーライドされていないことを確認します。 

  3. これらの値が正しい場合は、「sc.exe query netlogon」で NETLOGON サービスが開始されているかどうかを確認します。 

  4. nltest /SC_VERIFY: (DomainName にドメイン NetBIOS 名を指定) を実行してパスワード同期を検証すると、同期の状態を確認できます。両方の検証で 0 0x0 NERR_Success が表示されていれば正常です。

ヒント

コンピューター アカウントのパスワード プロセスの詳細については、マシン アカウントのパスワード プロセスに関するブログ記事を参照してください。

次のステップ

Microsoft Secure スコアの詳細情報