Avaliação de Segurança: Alterar a palavra-passe antiga da conta de computador do Controlador de Domínio
Esta recomendação lista todas as contas de computador do controlador de domínio com a palavra-passe definida pela última vez há mais de 45 dias.
Risco da organização
Um Controlador de Domínio (DC) é um servidor num ambiente do Active Directory (AD) que gere a autenticação e autorização do utilizador, impõe políticas de segurança e armazena a base de dados do AD. Processa inícios de sessão, verifica permissões e garante o acesso seguro aos recursos de rede. Vários DCs fornecem redundância para elevada disponibilidade.
Os Controladores de Domínio com palavras-passe antigas estão em risco elevado de comprometimento e podem ser mais facilmente assumidos. Os atacantes podem explorar palavras-passe desatualizadas, obter acesso prolongado a recursos críticos e enfraquecer a segurança de rede. Pode indicar um Controlador de domínio que já não está a funcionar no domínio.
Passos de remediação
Verificar Valores de Registo:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange está definido como 0 ou não existe.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge está definido como 30.
Repor Valores Incorretos:
- Reponha quaisquer valores incorretos para as predefinições.
- Verifique Política de Grupo Objetos (GPOs) para garantir que não substituem estas definições.
Se estes valores estiverem corretos, verifique se o serviço NETLOGON foi iniciado com sc.exe netlogon de consulta.
Valide a Sincronização de Palavras-passe ao Executar nltest /SC_VERIFY: (sendo DomainName o nome NetBIOS do domínio) pode verificar o estado de sincronização e deve apresentar0 0x0 NERR_Success para ambas as verificações.
Sugestão
Para obter mais informações sobre o processo de palavra-passe da conta de transporte, veja esta mensagem de blogue sobre o processo de palavra-passe das contas de computador.