Sicherheitsbewertung: Altes Kennwort des Domänencontroller-Computerkontos ändern

Diese Empfehlung listet alle Computerkonten des Domänencontrollers auf, deren Kennwort zuletzt vor mehr als 45 Tagen festgelegt wurde.

Organisationsrisiko

Ein Domänencontroller (DC) ist ein Server in einer Active Directory (AD)-Umgebung, der die Benutzerauthentifizierung und -autorisierung verwaltet, Sicherheitsrichtlinien durchsetzt und die AD-Datenbank speichert. Er verwaltet Anmeldungen, überprüft Berechtigungen und gewährleistet einen sicheren Zugriff auf Netzwerkressourcen. Mehrere DCs bieten Redundanz für hohe Verfügbarkeit.
Domänencontroller mit alten Kennwörtern sind einem erhöhten Risiko ausgesetzt und könnten leichter übernommen werden. Angreifende können veraltete Kennwörter ausnutzen, um sich längeren Zugriff auf wichtige Ressourcen zu verschaffen und die Netzwerksicherheit zu schwächen. Es könnte auf einen Domänencontroller hinweisen, der in der Domäne nicht mehr funktioniert.

Schritte zur Bereinigung

1. Verifizierung der Registrierungswerte:

   • HKLM\System\CurrentControlSet\Services\Netlogon\Parameter\DisablePasswordChange ist auf 0 gesetzt oder nicht vorhanden. 

   • HKLM\System\CurrentControlSet\Services\Netlogon\Parameter\MaximumPasswordAge ist auf 30 gesetzt. 

2. Falsche Werte zurücksetzen:

   • Setzen Sie alle falschen Werte auf die Standardeinstellungen zurück. 
   • Überprüfen Sie Gruppenrichtlinienobjekte (GPOs), um sicherzustellen, dass sie diese Einstellungen nicht außer Kraft setzen. 

3. Wenn diese Werte korrekt sind, überprüfen Sie, ob der NETLOGON-Dienst mit sc.exe query netlogon gestartet wurde. 

4. Überprüfen Sie die Passwortsynchronisierung, indem Sie „nltest /SC_VERIFY“ ausführen: (wobei DomainName der NetBIOS-Name der Domäne ist) kann den Synchronisierungsstatus überprüfen und sollte für beide Überprüfungen0 0x0 NERR_Success anzeigen.

Nächste Schritte

Erfahren Sie mehr über die Microsoft-Sicherheitsbewertung