Jedním z často přehlížených bezpečnostních rizik ve službě Active Directory je možnost vytvářet uživatelské účty bez hesla (s prázdným heslem). V tomto článku prozkoumáme, zda je možné vytvořit uživatelské účty domény bez hesla, jak takové účty najít a jak je zakázat.
Mnoho správců Active Directory může být překvapeno, když zjistí, že doménové účty s prázdnými hesly mohou existovat, i když zásady výchozího hesla domény vynucujíMinimální délka heslaje povoleno.
PokudPASSWD_NOTREQDje povolen pro uživatelský účet, tento účet může být schopen nastavit aprázdné heslonavzdory zásadám hesla domény, které vyžadují minimální délku hesla. Atribut PASSWD_NOTREQD není samostatný atribut třídy uživatele ve službě Active Directory (AD). Je uložen v hodnotě složeného atributuuserAccountControl(je bitová maska, kde každý bit je příznak představující konkrétní vlastnost uživatelského účtu, jako je zakázáno, zamčeno, heslo nikdy nevyprší atd.).
Nejprve se podíváme na to, jak nastavit prázdné heslo pro uživatelský účet AD. Pomocí rutiny Set-ADUser PowerShell povolte pro uživatele atribut PasswordNotRequired.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Nyní zkontrolujeme, zda již není pro účet vyžadováno heslo.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Grafický modul snap-in Uživatelé a počítače služby Active Directory (dsa.msc) lze také použít k deaktivaci požadavku na heslo pro uživatele. Otevřete vlastnosti uživatele v ADUC. Přejděte na kartu Editor atributů a upravte hodnotu atributu UserAccountControl. Povolte možnost PASSWD_NOT_REQD přidáním32(v desítkové soustavě) na aktuální hodnotu atributu.
Například počáteční hodnota tohoto atributu byla 66048. Tato hodnota je součtem atributu NORMAL_ACCOUNT (512) a atribut DONT_EXPIRE_PASSWORD (65536). Přidat32na aktuální hodnotu, aby se pro tento účet povolil příznak PASSWD_NOT_REQD. Výsledkem je66080.
Jakmile je pro uživatele povolen atribut PASSWD_NOT_REQD, nebude si moci nastavit prázdné heslo (pomocí standardní procedury změny hesla uživatele). Správce domény, člen skupiny Account Operators nebo uživatel s delegovanými oprávněními správce AD ke změně hesel pro jiné účty však může heslo uživatele resetovat na prázdné.
Otevřete modul snap-in ADUC, klikněte pravým tlačítkem na uživatele a vyberteObnovit heslo.Nezadávejte nové heslo a ponechte pole hesla prázdná.
V tomto případě zásady hesla AD nezabrání vytvoření prázdného hesla. Uživatel se nyní bude moci přihlásit k počítači připojenému k doméně Windows pomocí prázdného hesla výběrem svého účtu na přihlašovací obrazovce a stisknutím klávesy Enter.
Zabezpečení domény může být ohroženo uživateli s prázdnými hesly, protože je lze snadno odhalit.
Aby se zabránilo vytváření uživatelů bez hesel, musí správci sledovat doménu pro uživatele, kteří mají povolen atribut PASSWD_NOTREQD. Chcete-li uvést všechny takové uživatele, použijte následující jednoduchý řádek PowerShell:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Resetujte hesla a deaktivujte možnost Heslo není vyžadováno pro nalezené uživatele.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
Doporučené čtení:Oprava prázdné stránky po přihlášení v ECP/OWA na Exchange Server
Zlepšete zabezpečení zásad hesel služby Active Directory implementací dalších filtrů, které zakazují slabá hesla.
