Sikkerhetsvurdering: Endre passord for datamaskinkonto for domenekontroller
Denne anbefalingen viser alle domenekontrollerens datamaskinkontoer med passord som sist ble angitt for over 45 dager siden.
Organisasjonsrisiko
En domenekontroller (DC) er en server i et Active Directory (AD)-miljø som administrerer brukergodkjenning og autorisasjon, håndhever sikkerhetspolicyer og lagrer AD-databasen. Den håndterer pålogginger, bekrefter tillatelser og sikrer sikker tilgang til nettverksressurser. Flere datamaskiner gir redundans for høy tilgjengelighet.
Domenekontrollere med gamle passord har økt risiko for kompromisser og kan lettere overtas. Angripere kan utnytte utdaterte passord, få langvarig tilgang til kritiske ressurser og svekke nettverkssikkerheten. Det kan indikere en domenekontroller som ikke lenger fungerer i domenet.
Utbedringstrinn
Bekreft registerverdier:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange er satt til 0 eller er ikke-eksisterende.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge er satt til 30.
Tilbakestill uriktige verdier:
- Tilbakestill eventuelle uriktige verdier til standardinnstillingene.
- Kontroller gruppepolicy Objekter (GPOer) for å sikre at de ikke overstyrer disse innstillingene.
Hvis disse verdiene er riktige, kontrollerer du om NETLOGON-tjenesten startes med sc.exe spørringsnettlogg.
Valider passordsynkronisering ved å kjøre nltest /SC_VERIFY: (med DomainName som domenet NetBIOS-navn) kan du kontrollere synkroniseringsstatusen og skal vise0 0x0 NERR_Success for begge bekreftelsene.
Tips
Hvis du vil ha mer informasjon om passordprosessen for pendlerkontoen, kan du se dette blogginnlegget om passordprosessen for maskinkontoer.