Yksi Active Directoryn usein huomiotta jäänyt turvallisuusriski on kyky luoda käyttäjätilejä ilman salasanaa (tyhjällä salasanalla). Tässä artikkelissa tutkimme, onko mahdollista luoda verkkotunnuksen käyttäjätilejä ilman salasanaa, kuinka löytää tällaiset tilit ja poistaa ne käytöstä.
Monet Active Directory -järjestelmänvalvojat saattavat yllättyä kuullessaan, että verkkotunnuksen tilejä, joissa on tyhjiä salasanoja, voi olla olemassa, vaikka verkkotunnuksen oletussalasanakäytäntö pakottaa.Salasanan vähimmäispituuson käytössä.
JosPASSWD_NOTREQDattribuutti on käytössä käyttäjätilillä, tämä tili voi ehkä asettaa atyhjä salasanahuolimatta verkkotunnuksen salasanakäytännöstä, joka edellyttää salasanan vähimmäispituutta. Attribuutti PASSWD_NOTREQD ei ole Active Directoryn (AD) käyttäjäluokan erillinen attribuutti. Se tallennetaan komposiittiattribuutin arvoonuserAccountControl(on bittimaski, jossa jokainen bitti on lippu, joka edustaa tiettyä käyttäjätilin ominaisuutta, kuten poistettu käytöstä, lukittu, salasana ei vanhene koskaan jne.).
Katsotaanpa ensin, kuinka AD-käyttäjätilille asetetaan tyhjä salasana. Ota PasswordNotRequired-attribuutti käyttöön käyttäjälle Set-ADUser PowerShell-cmdletillä.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Tarkastetaan nyt, ettei tilille enää tarvita salasanaa.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Active Directoryn käyttäjät ja tietokoneet -graafinen laajennus (dsa.msc) voidaan myös käyttää salasanavaatimuksen poistamiseen käyttäjältä. Avaa käyttäjän ominaisuudet ADUCissa. Siirry Attribuuttieditori-välilehdelle ja muokkaa UserAccountControl-attribuutin arvoa. Ota PASSWD_NOT_REQD käyttöön lisäämällä32(desimaaleina) attribuutin nykyiseen arvoon.
Esimerkiksi tämän määritteen alkuarvo oli 66048. Tämä arvo on NORMAL_ACCOUNT-attribuutin summa (512) ja DONT_EXPIRE_PASSWORD-attribuutti (65536). Lisätä32nykyiseen arvoon ottaaksesi PASSWD_NOT_REQD-lipun käyttöön tälle tilille. Tulos on66080.
Kun PASSWD_NOT_REQD-attribuutti on otettu käyttöön käyttäjälle, hän ei voi asettaa itselleen tyhjää salasanaa (käyttäen tavallisen käyttäjän salasanan vaihtomenettelyä). Verkkotunnuksen järjestelmänvalvoja, tilioperaattorit-ryhmän jäsen tai käyttäjä, jolla on AD-järjestelmänvalvojan oikeudet muuttaa muiden tilien salasanoja, voi kuitenkin nollata käyttäjän salasanan.
Avaa ADUC-laajennus, napsauta käyttäjää hiiren kakkospainikkeella ja valitsePalauta salasana.Älä syötä uutta salasanaa ja jätä salasanakentät tyhjiksi.
Tässä tapauksessa AD-salasanakäytäntö ei estä tyhjän salasanan luomista. Käyttäjä voi nyt kirjautua sisään Windows-verkkotunnukseen liitettyyn tietokoneeseen käyttämällä tyhjää salasanaa valitsemalla tilinsä kirjautumisnäytöltä ja painamalla Enter
Käyttäjät, joilla on tyhjiä salasanoja, voivat vaarantaa verkkotunnuksen suojauksen, koska ne on helppo havaita.
Jotta käyttäjien luominen ilman salasanoja voidaan estää, järjestelmänvalvojien on valvottava toimialuetta käyttäjiltä, joilla on PASSWD_NOTREQD-attribuutti käytössä. Käytä seuraavaa PowerShell-yksilinjaista luetellaksesi kaikki tällaiset käyttäjät:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Palauta salasanat ja poista salasanaa ei vaadita -vaihtoehto käytöstä löydetyiltä käyttäjiltä.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
AIHEUTTAA:Kuinka tyhjentää tai tyhjentää unohdettu Windows-salasana
Paranna Active Directoryn salasanakäytäntöjen turvallisuutta ottamalla käyttöön lisäsuodattimia, jotka estävät heikot salasanat.
