安全性評估:變更域控制器計算機帳戶舊密碼
此建議會列出 45 天前上次設定密碼的所有域控制器電腦帳戶。
組織風險
DC) (域控制器是 Active Directory (AD) 環境中的伺服器,可管理使用者驗證和授權、強制執行安全策略,以及儲存 AD 資料庫。 它會處理登入、驗證許可權,並確保安全地存取網路資源。 多個DC提供高可用性的備援。
具有舊密碼的域控制器有更大的入侵風險,而且可以更輕鬆地接管。 攻擊者可以惡意探索過期的密碼、取得重要資源的長時間存取權,以及降低網路安全性。 這可能表示網域中已不再運作的域控制器。
補救步驟
確認登入值:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange 設定為 0 或不存在。
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge 設定為 30。
重設不正確的值:
- 將任何不正確的值重設為其預設設定。
- 檢查 群組原則 物件 (GPO) ,以確保它們不會覆寫這些設定。
如果這些值正確,請檢查 NETLOGON 服務是否已啟動,sc.exe 查詢 netlogon。
執行 nltest /SC_VERIFY 來驗證密碼同步處理: (DomainName 為網域 NetBIOS 名稱) 可以檢查同步處理狀態,且兩個驗證都應該顯示 0 0x0 NERR_Success。
提示
如需有關帳戶密碼程式的詳細資訊,請參閱這篇關於 計算機帳戶密碼程式的部落格文章。