Beveiligingsevaluatie: het oude wachtwoord van het computeraccount van de domeincontroller wijzigen
In deze aanbeveling worden alle computeraccounts van de domeincontroller vermeld met het wachtwoord dat meer dan 45 dagen geleden voor het laatst is ingesteld.
Organisatierisico
Een domeincontroller (DC) is een server in een Ad-omgeving (Active Directory) die gebruikersverificatie en autorisatie beheert, beveiligingsbeleid afdwingt en de AD-database opslaat. Het verwerkt aanmeldingen, verifieert machtigingen en zorgt voor beveiligde toegang tot netwerkresources. Meerdere DC's bieden redundantie voor hoge beschikbaarheid.
Domeincontrollers met oude wachtwoorden lopen een verhoogd risico op inbreuk en kunnen gemakkelijker worden overgenomen. Aanvallers kunnen verouderde wachtwoorden misbruiken, waardoor ze langdurige toegang krijgen tot kritieke resources en de netwerkbeveiliging verzwakken. Dit kan duiden op een domeincontroller die niet meer werkt in het domein.
Herstelstappen
Registerwaarden controleren:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange is ingesteld op 0 of is niet bestaand.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge is ingesteld op 30.
Onjuiste waarden opnieuw instellen:
- Stel onjuiste waarden opnieuw in op de standaardinstellingen.
- Controleer groepsbeleid objecten (GPO's) om ervoor te zorgen dat deze instellingen niet worden overschreven.
Als deze waarden juist zijn, controleert u of de NETLOGON-service is gestart met sc.exe query netlogon.
Wachtwoordsynchronisatie valideren door nltest /SC_VERIFY: (waarbij DomainName de NetBIOS-naam van het domein is) kan de synchronisatiestatus controleren en moet0 0x0 NERR_Success weergeven voor beide verificaties.
Tip
Voor meer informatie over het wachtwoordproces van het forensenaccount raadpleegt u dit blogbericht over het wachtwoordproces van computeraccounts.