Одним із ризиків безпеки в Active Directory, який часто забувають, є можливість створювати облікові записи користувачів без пароля (з порожнім паролем). У цій статті ми розглянемо, чи можна створювати облікові записи користувачів домену без пароля, як знайти такі облікові записи та вимкнути їх.
Багато адміністраторів Active Directory можуть бути здивовані, дізнавшись, що облікові записи домену з порожніми паролями можуть існувати, навіть якщо політика паролів домену за умовчанням, яка забезпечуєМінімальна довжина пароляувімкнено.
ЯкщоPASSWD_NOTREQDатрибут увімкнено для облікового запису користувача, цей обліковий запис може мати змогу встановити aпорожній парольнезважаючи на те, що політика паролів домену вимагає мінімальної довжини пароля. Атрибут PASSWD_NOTREQD не є окремим атрибутом класу користувача в Active Directory (AD). Він зберігається у значенні складеного атрибутаuserAccountControl(це бітова маска, де кожен біт є прапорцем, що представляє певну властивість облікового запису користувача, як-от вимкнено, заблоковано, пароль ніколи не закінчується тощо).
По-перше, давайте розглянемо, як встановити порожній пароль для облікового запису користувача AD. Використовуйте командлет Set-ADUser PowerShell, щоб увімкнути атрибут PasswordNotRequired для користувача.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Тепер давайте перевіримо, що для облікового запису більше не потрібен пароль.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Графічна оснастка «Користувачі та комп’ютери Active Directory» (dsa.msc) також можна використовувати, щоб вимкнути вимогу пароля для користувача. Відкрийте властивості користувача в ADUC. Перейдіть на вкладку Редактор атрибутів і відредагуйте значення атрибута UserAccountControl. Увімкніть параметр PASSWD_NOT_REQD, додавши32(у десятковому вигляді) до поточного значення атрибута.
Наприклад, початкове значення цього атрибута було 66048. Це значення є сумою атрибута NORMAL_ACCOUNT (512) і атрибут DONT_EXPIRE_PASSWORD (65536). додати32до поточного значення, щоб увімкнути позначку PASSWD_NOT_REQD для цього облікового запису. Результат є66080.
Після ввімкнення атрибута PASSWD_NOT_REQD для користувача він не зможе встановити порожній пароль для себе (за допомогою стандартної процедури зміни пароля користувача). Однак адміністратор домену, член групи операторів облікових записів або користувач із делегованими адміністративними дозволами AD на зміну паролів для інших облікових записів може скинути пароль користувача на порожній.
Відкрийте оснастку ADUC, клацніть правою кнопкою миші користувача та виберітьСкинути пароль.Не вводьте новий пароль і залиште поля пароля порожніми.
У цьому випадку політика паролів AD не запобігатиме створенню порожнього пароля. Тепер користувач зможе ввійти на комп’ютер, приєднаний до домену Windows, використовуючи порожній пароль, вибравши свій обліковий запис на екрані входу та натиснувши Enter
Безпека домену може бути скомпрометована користувачами з порожніми паролями, оскільки їх легко виявити.
Щоб запобігти створенню користувачів без паролів, адміністратори повинні контролювати домен на наявність користувачів, у яких увімкнено атрибут PASSWD_NOTREQD. Використовуйте такий однорядковий PowerShell, щоб перерахувати всіх таких користувачів:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Скиньте паролі та вимкніть опцію Пароль не потрібен для знайдених користувачів.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
ПОВ'ЯЗАНО:Як очистити або очистити забутий пароль Windows
Покращте безпеку політик паролів Active Directory, запровадивши додаткові фільтри, які забороняють слабкі паролі.
