Beveiligingsevaluatie: wachtwoord van ingebouwd domeinbeheerdersaccount wijzigen
In deze aanbeveling worden alle ingebouwde domeinbeheerdersaccounts in uw omgeving vermeld met het wachtwoord dat meer dan 180 dagen geleden voor het laatst is ingesteld.
Organisatierisico
Het ingebouwde domeinbeheerdersaccount is een standaard AD-account met hoge bevoegdheden met volledige controle over het domein. Het kan niet worden verwijderd, heeft onbeperkte toegang en is essentieel voor het beheren van de resources van het domein.
Het wachtwoord van het ingebouwde beheerdersaccount regelmatig bijwerken is essentieel vanwege de hoge bevoegdheden, waardoor het een belangrijk doelwit is voor aanvallers. Als deze is gecompromitteerd, kan het onbevoegde beheer over het domein verlenen. Omdat dit account vaak niet wordt gebruikt en het wachtwoord mogelijk niet regelmatig wordt bijgewerkt, verminderen regelmatige wijzigingen de blootstelling en verbeteren de beveiliging.
Herstelstappen
Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw ingebouwde domeinbeheerdersaccounts een oud wachtwoord hebben.
Voer de juiste actie uit voor deze accounts door hun wachtwoord opnieuw in te stellen.
Bijvoorbeeld: