Ocena zabezpieczeń: zmień stare hasło konta komputera kontrolera domeny

To zalecenie zawiera listę wszystkich kont komputerów kontrolera domeny z hasłem ostatnio ustawionym ponad 45 dni temu.

Ryzyko organizacji

Kontroler domeny (DC) to serwer w środowisku usługi Active Directory (AD), który zarządza uwierzytelnianiem i autoryzacją użytkowników, wymusza zasady zabezpieczeń i przechowuje bazę danych usługi AD. Obsługuje ona logowania, weryfikuje uprawnienia i zapewnia bezpieczny dostęp do zasobów sieciowych. Wiele kontrolerów domeny zapewnia nadmiarowość w celu zapewnienia wysokiej dostępności.
Kontrolery domeny ze starymi hasłami są narażone na zwiększone ryzyko naruszenia zabezpieczeń i można je łatwiej przejąć. Osoby atakujące mogą wykorzystywać nieaktualne hasła, uzyskując długotrwały dostęp do krytycznych zasobów i osłabiając bezpieczeństwo sieci. Może wskazywać kontroler domeny, który nie działa już w domenie.

Kroki korygowania

1. Sprawdź wartości rejestru:

   • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange ma wartość 0 lub nie istnieje. 

   • Wartość HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge wynosi 30. 

2. Resetuj nieprawidłowe wartości:

   • Zresetuj wszystkie nieprawidłowe wartości do ustawień domyślnych. 
   • Sprawdź zasady grupy Obiekty (GPO), aby upewnić się, że nie przesłaniają tych ustawień. 

3. Jeśli te wartości są poprawne, sprawdź, czy usługa NETLOGON została uruchomiona z sc.exe kwerendy netlogon. 

4. Zweryfikuj synchronizację haseł, uruchamiając polecenie nltest /SC_VERIFY: (nazwa domeny jest nazwą netBIOS domeny) może sprawdzić stan synchronizacji i powinna zostać wyświetlona 0 0x0 NERR_Success dla obu weryfikacji.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft