Jednym z często pomijanych zagrożeń bezpieczeństwa w Active Directory jest możliwość tworzenia kont użytkowników bez hasła (z pustym hasłem). W tym artykule sprawdzimy, czy można tworzyć konta użytkowników domeny bez hasła, jak znaleźć takie konta i je wyłączyć.
Wielu administratorów usługi Active Directory może być zaskoczonych, gdy dowie się, że mogą istnieć konta domen z pustymi hasłami, nawet jeśli wymuszana jest zasada domyślnego hasła domenyMinimalna długość hasłajest włączony.
JeśliPASSWD_NOTREQDatrybut jest włączony dla konta użytkownika, to konto może mieć możliwość ustawienia:puste hasłopomimo polityki haseł domeny wymagającej minimalnej długości hasła. Atrybut PASSWD_NOTREQD nie jest oddzielnym atrybutem klasy użytkownika w Active Directory (AD). Jest on przechowywany w wartości atrybutu złożonegoKontrola konta użytkownika(jest maską bitową, gdzie każdy bit jest flagą reprezentującą konkretną właściwość konta użytkownika, taką jak wyłączone, zablokowane, hasło nigdy nie wygasa itp.).
Najpierw przyjrzyjmy się, jak ustawić puste hasło dla konta użytkownika AD. Użyj polecenia cmdlet Set-ADUser PowerShell, aby włączyć atrybut PasswordNotRequired dla użytkownika.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Sprawdźmy teraz, czy hasło nie jest już potrzebne do konta.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Przystawka graficzna Użytkownicy i komputery usługi Active Directory (dsa.msc) można również wykorzystać do wyłączenia wymagania dotyczącego hasła dla użytkownika. Otwórz właściwości użytkownika w ADUC. Przejdź do zakładki Edytor atrybutów i edytuj wartość atrybutu UserAccountControl. Włącz opcję PASSWD_NOT_REQD dodając32(w systemie dziesiętnym) do bieżącej wartości atrybutu.
Na przykład początkowa wartość tego atrybutu wynosiła 66048. Ta wartość jest sumą atrybutu NORMAL_ACCOUNT (512) i atrybut DONT_EXPIRE_PASSWORD (65536). Dodać32do bieżącej wartości, aby włączyć flagę PASSWD_NOT_REQD dla tego konta. Rezultatem jest66080.
Po włączeniu dla użytkownika atrybutu PASSWD_NOT_REQD nie będzie on mógł ustawić dla siebie pustego hasła (przy zastosowaniu standardowej procedury zmiany hasła użytkownika). Jednakże administrator domeny, członek grupy Operatorzy kont lub użytkownik z delegowanymi uprawnieniami administracyjnymi usługi AD do zmiany haseł do innych kont może zresetować hasło użytkownika na puste.
Otwórz przystawkę ADUC, kliknij użytkownika prawym przyciskiem myszy, a następnie wybierzZresetuj hasło.Nie wprowadzaj nowego hasła i pozostaw pola hasła puste.
W takim przypadku polityka haseł usługi AD nie zapobiegnie utworzeniu pustego hasła. Użytkownik będzie teraz mógł zalogować się na komputerze przyłączonym do domeny systemu Windows przy użyciu pustego hasła, wybierając swoje konto na ekranie logowania i naciskając klawisz Enter
Bezpieczeństwo domeny może zostać naruszone przez użytkowników z pustymi hasłami, ponieważ są one łatwe do wykrycia.
Aby zapobiec tworzeniu użytkowników bez haseł, administratorzy muszą monitorować domenę pod kątem użytkowników, którzy mają włączony atrybut PASSWD_NOTREQD. Aby wyświetlić listę wszystkich takich użytkowników, użyj poniższej instrukcji programu PowerShell:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Zresetuj hasła i wyłącz opcję Hasło nie jest wymagane dla znalezionych użytkowników.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
Polecana lektura:Napraw pustą stronę po zalogowaniu się w ECP/OWA na serwerze Exchange
Popraw bezpieczeństwo zasad haseł Active Directory, wdrażając dodatkowe filtry, które zabraniają słabych haseł.
