Оценка безопасности: изменение старого пароля учетной записи компьютера контроллера домена
Эта рекомендация содержит список всех учетных записей компьютеров контроллера домена с паролем, который последний раз был задан более 45 дней назад.
Риск организации
Контроллер домена — это сервер в среде Active Directory (AD), который управляет проверкой подлинности и авторизацией пользователей, применяет политики безопасности и сохраняет базу данных AD. Он обрабатывает имена входа, проверяет разрешения и обеспечивает безопасный доступ к сетевым ресурсам. Несколько контроллеров домена обеспечивают избыточность для обеспечения высокого уровня доступности.
Контроллеры домена со старыми паролями подвергаются повышенному риску компрометации и могут быть легко захвачены. Злоумышленники могут использовать устаревшие пароли, получая длительный доступ к критически важным ресурсам и ослабляя сетевую безопасность. Он может указывать на контроллер домена, который больше не работает в домене.
Действия по исправлению
Проверка значений реестра:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange имеет значение 0 или не существует.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge имеет значение 30.
Сброс неправильных значений:
- Сбросьте все неверные значения до параметров по умолчанию.
- Проверьте групповая политика объекты (GPO), чтобы убедиться, что они не переопределяют эти параметры.
Если эти значения верны, проверка, если служба NETLOGON запущена с sc.exe netlogon.
Проверка синхронизации паролей путем выполнения nltest /SC_VERIFY: (имя_домена — имя домена NetBIOS) может проверка состояние синхронизации и должно отображаться0 0x0 NERR_Success для обеих проверок.
Совет
Дополнительные сведения о процессе ввода пароля учетной записи commuter проверка этой записи блога о процессе ввода пароля учетных записей компьютера.