En ofte overset sikkerhedsrisiko i Active Directory er muligheden for at oprette brugerkonti uden en adgangskode (med en tom adgangskode). I denne artikel vil vi undersøge, om det er muligt at oprette domænebrugerkonti uden en adgangskode, hvordan man finder sådanne konti og deaktiverer dem.
Mange Active Directory-administratorer kan blive overrasket over at erfare, at domænekonti med tomme adgangskoder kan eksistere, selv når politikken for standard domæneadgangskode, der håndhæverMinimum adgangskodelængdeer aktiveret.
HvisPASSWD_NOTREQDattribut er aktiveret for en brugerkonto, kan denne konto muligvis indstille enblank adgangskodepå trods af at domænets adgangskodepolitik kræver en minimumsadgangskodelængde. PASSWD_NOTREQD-attributten er ikke en separat egenskab for brugerklassen i Active Directory (AD). Det er gemt i værdien af den sammensatte attributuserAccountControl(er en bitmaske, hvor hver bit er et flag, der repræsenterer en specifik brugerkontoegenskab som deaktiveret, låst, adgangskode udløber aldrig osv.).
Lad os først se på, hvordan man indstiller en tom adgangskode til en AD-brugerkonto. Brug Set-ADUser PowerShell-cmdlet'en til at aktivere attributten PasswordNotRequired for en bruger.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Lad os nu kontrollere, at en adgangskode ikke længere er påkrævet til kontoen.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Active Directory-brugere og -computeres grafiske snap-in (dsa.msc) kan også bruges til at deaktivere adgangskodekravet for en bruger. Åbn brugeregenskaberne i ADUC. Gå til fanen Attribut Editor, og rediger værdien af UserAccountControl-attributten. Aktiver indstillingen PASSWD_NOT_REQD ved at tilføje32(i decimal) til den aktuelle værdi af attributten.
For eksempel var denne attributs startværdi 66048. Denne værdi er summen af attributten NORMAL_ACCOUNT (512) og attributten DONT_EXPIRE_PASSWORD (65536). Tilføje32til den aktuelle værdi for at aktivere PASSWD_NOT_REQD-flaget for denne konto. Resultatet er66080.
Når attributten PASSWD_NOT_REQD er aktiveret for en bruger, vil han ikke være i stand til at indstille en tom adgangskode for sig selv (ved at bruge standardproceduren for ændring af brugeradgangskode). En domæneadministrator, et medlem af gruppen kontooperatører eller en bruger med delegerede AD-administrative tilladelser til at ændre adgangskoder til andre konti kan dog nulstille en brugers adgangskode til tom.
Åbn ADUC-snap-in'en, højreklik på brugeren, og vælg derefterNulstil adgangskode.Indtast ikke en ny adgangskode og lad adgangskodefelterne være tomme.
I dette tilfælde vil AD-adgangskodepolitikken ikke forhindre oprettelsen af en tom adgangskode. Brugeren vil nu være i stand til at logge ind på en Windows-domæneforbundet computer ved hjælp af en tom adgangskode ved at vælge sin konto på logonskærmen og trykke på Enter
Domænesikkerhed kan blive kompromitteret af brugere med tomme adgangskoder, fordi de er nemme at opdage.
For at forhindre oprettelse af brugere uden adgangskoder skal administratorer overvåge domænet for brugere, der har PASSWD_NOTREQD-attributten aktiveret. Brug følgende PowerShell one-liner til at liste alle sådanne brugere:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Nulstil adgangskoden og deaktiver indstillingen Adgangskode ikke påkrævet for de fundne brugere.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
RELATERET:Sådan tømmes eller slettes en glemt Windows-adgangskode
Forbedre sikkerheden for Active Directory-adgangskodepolitikker ved at implementere yderligere filtre, der forbyder svage adgangskoder.
