安全评估:更改域控制器计算机帐户旧密码
此建议列出所有域控制器的计算机帐户,其密码上次设置超过 45 天。
组织风险
域控制器 (DC) 是 Active Directory (AD) 环境中的服务器,用于管理用户身份验证和授权、强制实施安全策略以及存储 AD 数据库。 它处理登录名、验证权限并确保对网络资源的安全访问。 多个 DC 提供冗余以实现高可用性。
具有旧密码的域控制器面临更高的泄露风险,更容易被接管。 攻击者可以利用过时的密码,长时间访问关键资源并削弱网络安全。 它可能指示域控制器不再在域中运行。
修正步骤
验证注册表值:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange 设置为 0 或不存在。
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge 设置为 30。
重置错误值:
- 将任何不正确的值重置为其默认设置。
- 检查组策略对象 (GPO) ,确保它们不会覆盖这些设置。
如果这些值正确,检查是否使用 sc.exe 查询 netlogon 启动 NETLOGON 服务。
通过运行 nltest /SC_VERIFY 验证密码同步:将 DomainName 作为域 NetBIOS 名称的 () 可以检查同步状态,并且这两个验证应显示0 0x0 NERR_Success。
提示
有关通勤帐户密码过程的详细信息,检查此博客文章有关计算机帐户密码过程。