安全评估:更改域控制器计算机帐户旧密码
此建议列出了最后一次设置密码超过 45 天前的所有域控制器计算机帐户。
组织风险
域控制器 (DC) 是 Active Directory (AD) 环境中的服务器,用于管理用户身份验证和授权、强制实施安全策略并存储 AD 数据库。 它处理登录、验证权限,并确保对网络资源的安全访问。 多个 DC 为高可用性提供冗余。
具有旧密码的域控制器面临更高的泄露风险,更容易被接管。 攻击者可以利用过时的密码,延长对关键资源的访问时间,削弱网络安全。 它可能表示域控制器在域中不再起作用。
修正步骤
验证注册表值:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange 设置为 0 或不存在。
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge 设置为 30。
重置不正确的值:
- 将任何不正确的值重置为其默认设置。
- 检查组策略对象 (GPO),以确保它们不会覆盖这些设置。
如果这些值正确,请执行 sc.exe 查询 netlogon 命令检查 NETLOGON 服务是否启动。
通过运行 nltest /SC_VERIFY 验证密码是否同步:(使用 DomainName 作为域 NetBIOS 名称)可以检查同步状态,并且两次验证都应显示 display0 0x0 NERR_Success。
提示
有关通勤者帐户密码过程的详细信息,请查看这篇关于计算机帐户密码过程的博客文章。