Säkerhetsutvärdering: Ändra det gamla lösenordet för domänkontrollantens datorkonto
Den här rekommendationen visar alla domänkontrollantens datorkonton med lösenord som senast angavs för över 45 dagar sedan.
Organisationsrisk
En domänkontrollant (DC) är en server i en Active Directory-miljö (AD) som hanterar användarautentisering och auktorisering, tillämpar säkerhetsprinciper och lagrar AD-databasen. Den hanterar inloggningar, verifierar behörigheter och säkerställer säker åtkomst till nätverksresurser. Flera domänkontrollanter ger redundans för hög tillgänglighet.
Domänkontrollanter med gamla lösenord löper ökad risk att komprometteras och kan lättare tas över. Angripare kan utnyttja inaktuella lösenord, få långvarig åtkomst till kritiska resurser och försvaga nätverkssäkerheten. Det kan tyda på en domänkontrollant som inte längre fungerar i domänen.
Reparationssteg
Verifiera registervärden:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange är inställt på 0 eller är obefintligt.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge är inställt på 30.
Återställ felaktiga värden:
- Återställ eventuella felaktiga värden till standardinställningarna.
- Kontrollera grupprincip objekt (GPO: er) för att se till att de inte åsidosätter dessa inställningar.
Om dessa värden är korrekta kontrollerar du om NETLOGON-tjänsten har startats med sc.exe fråga netlogon.
Verifiera lösenordssynkronisering genom att köra nltest /SC_VERIFY: (där DomainName är domänens NetBIOS-namn) kan kontrollera synkroniseringsstatusen och bör visa0 0x0 NERR_Success för båda verifieringarna.
Tips
Mer information om lösenordsprocessen för pendlarkontot finns i det här blogginlägget om lösenordsprocessen för datorkonton.