Az Active Directory egyik gyakran figyelmen kívül hagyott biztonsági kockázata az, hogy jelszó nélkül (üres jelszóval) hozhatók létre felhasználói fiókok. Ebben a cikkben megvizsgáljuk, hogy lehetséges-e tartományi felhasználói fiókok létrehozása jelszó nélkül, hogyan lehet ezeket a fiókokat megtalálni és letiltani.
Sok Active Directory adminisztrátor meglepődhet, amikor megtudja, hogy létezhetnek üres jelszavakkal rendelkező tartományfiókok, még akkor is, ha az alapértelmezett tartományjelszó házirend kényszeríti ki.A jelszó minimális hosszaengedélyezve van.
Olvassa el még:Fekete vagy üres képernyők hibaelhárítása a Windows rendszerben
Ha aPASSWD_NOTREQDattribútum engedélyezve van egy felhasználói fiókhoz, akkor az adott fiók be tudja állítani aüres jelszóannak ellenére, hogy a tartomány jelszószabályzata minimális jelszóhosszt ír elő. A PASSWD_NOTREQD attribútum nem az Active Directory (AD) felhasználói osztályának különálló attribútuma. Az összetett attribútum értékében tárolódikuserAccountControl(egy bitmaszk, ahol minden bit egy adott felhasználói fiók tulajdonságát jelző jelző, például letiltva, zárolva, a jelszó soha nem jár le stb.).
Először nézzük meg, hogyan állíthatunk be üres jelszót egy AD felhasználói fiókhoz. A Set-ADUser PowerShell-parancsmag segítségével engedélyezheti a PasswordNotRequired attribútumot egy felhasználó számára.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Most nézzük meg, hogy a fiókhoz már nincs szükség jelszóra.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Az Active Directory Felhasználók és számítógépek grafikus beépülő modul (dsa.msc) is használható a jelszókövetelmény letiltására a felhasználónál. Nyissa meg a felhasználói tulajdonságokat az ADUC-ban. Lépjen az Attribútumszerkesztő lapra, és szerkessze a UserAccountControl attribútum értékét. Engedélyezze a PASSWD_NOT_REQD beállítást hozzáadásával32(tizedesben) az attribútum aktuális értékére.
Például ennek az attribútumnak a kezdeti értéke 66048 volt. Ez az érték a NORMAL_ACCOUNT attribútum összege (512) és a DONT_EXPIRE_PASSWORD attribútum (65536). Hozzáadás32az aktuális értékre, hogy engedélyezze a PASSWD_NOT_REQD jelzőt ehhez a fiókhoz. Az eredmény az66080.
Miután a PASSWD_NOT_REQD attribútumot engedélyezték egy felhasználó számára, nem tud üres jelszót beállítani magának (a szokásos felhasználói jelszómódosítási eljárással). Azonban a tartományadminisztrátor, a Fiókkezelők csoport tagja vagy a más fiókok jelszavának módosítására delegált AD-rendszergazdai jogosultsággal rendelkező felhasználó visszaállíthatja a felhasználó jelszavát üresre.
Nyissa meg az ADUC beépülő modult, kattintson a jobb gombbal a felhasználóra, majd válassza kiJelszó visszaállítása.Ne írjon be új jelszót, és hagyja üresen a jelszómezőket.
Ebben az esetben az AD jelszóházirend nem akadályozza meg az üres jelszó létrehozását. A felhasználó mostantól üres jelszóval bejelentkezhet a Windows tartományhoz csatlakozó számítógépére, ha kiválasztja fiókját a bejelentkezési képernyőn, és megnyomja az Enter billentyűt.
A tartomány biztonságát az üres jelszavakkal rendelkező felhasználók veszélyeztethetik, mivel azok könnyen észlelhetők.
A jelszó nélküli felhasználók létrehozásának megakadályozása érdekében a rendszergazdáknak figyelniük kell a tartományt azon felhasználók számára, akiknél engedélyezve van a PASSWD_NOTREQD attribútum. Használja a következő PowerShell egysoros listát az összes ilyen felhasználó felsorolásához:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Állítsa vissza a jelszavakat, és tiltsa le a Nem szükséges jelszó opciót a talált felhasználóknál.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
Növelje az Active Directory jelszóházirendjének biztonságát további szűrők bevezetésével, amelyek tiltják a gyenge jelszavakat.
