보안 평가: 도메인 컨트롤러 컴퓨터 계정 이전 암호 변경
이 권장 사항은 암호가 45일 전에 마지막으로 설정된 모든 도메인 컨트롤러의 컴퓨터 계정을 나열합니다.
조직 위험
DC(도메인 컨트롤러)는 사용자 인증 및 권한 부여를 관리하고, 보안 정책을 적용하고, AD 데이터베이스를 저장하는 AD(Active Directory) 환경의 서버입니다. 로그인을 처리하고, 권한을 확인하고, 네트워크 리소스에 대한 보안 액세스를 보장합니다. 여러 DC는 고가용성을 위한 중복성을 제공합니다.
이전 암호가 있는 도메인 컨트롤러는 손상 위험이 높아져 더 쉽게 인계될 수 있습니다. 공격자는 오래된 암호를 악용하여 중요한 리소스에 장기간 액세스하고 네트워크 보안을 약화시킬 수 있습니다. 도메인에서 더 이상 작동하지 않는 도메인 컨트롤러를 나타낼 수 있습니다.
수정 단계
레지스트리 값을 확인합니다.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange는 0으로 설정되거나 존재하지 않습니다.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge는 30으로 설정됩니다.
잘못된 값 다시 설정:
- 잘못된 값을 기본 설정으로 다시 설정합니다.
- 그룹 정책 개체(GPO)를 확인하여 이러한 설정을 재정의하지 않는지 확인합니다.
이러한 값이 올바른 경우 NETLOGON 서비스가 sc.exe 쿼리 netlogon으로 시작되는지 검사.
nltest /SC_VERIFY 실행하여 암호 동기화 유효성 검사: (DomainName이 도메인 NetBIOS 이름임)은 동기화 상태 검사 수 있으며 두 확인 모두에 대해 0 0x0 NERR_Success 표시해야 합니다.
팁
통근 계정의 암호 프로세스에 대한 자세한 내용은 컴퓨터 계정 암호 프로세스에 대한 이 블로그 게시물을 검사.