安全性評估:變更內建網域系統管理員帳戶的密碼
此建議會列出您環境中任何內建的網域系統管理員帳戶,其密碼上次設定時間超過 180 天。
組織風險
內建網域系統管理員帳戶是具有網域完整控制權的預設高許可權 AD 帳戶。 它無法刪除、具有不受限制的存取權,而且對於管理網域的資源而言非常重要。
定期更新內建系統管理員帳戶的密碼是不可或缺的,因為其高許可權會使其成為攻擊者的主要目標。 如果遭到入侵,它可以授與網域未經授權的控制權。 由於此帳戶通常未使用,且其密碼可能不會經常更新,因此一般變更可降低暴露程度並增強安全性。
補救步驟
檢閱公開的實體清單,以探索哪些內建網域系統管理員帳戶具有舊密碼。
藉由重設其密碼,對這些帳戶採取適當的動作。
例如:
