安全活动目录:关闭非密码圈的三种方式
活动目录用户可用简单命令消除密码需求如何比攻击者先辨别漏洞
活动目录持续如此之久, 组织管理员自满自大,假设所有活动目录用户都可用简单命令完全消除密码需求设置不显眼,安全审查或审核时可忽略
第一,让我们看看该设置如何配置用户, 从命令行运行管理员
网用户
对 就这么简单现在,你将如何看到这些设置 用户,这样你就可以安全帐户有几个选项
活动目录用户和计算机保存查询
新建SavedQuery自定义LDAP( Lightright目录访问协议)类搜索
(&(&(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=32))))
图1自定义LDAP使用保存查询查找用户不需密码
电源shell
活动目录模块Powershell使用
Get-ADUSER-Filter {Password不要求-eqe
可搭建
获取无密码用户列表的上述选项很容易实现,但它们只是点到即时解决方案需要持续运行并评价输出以确保不配置更多用户免密码更好但实时解决方案 持续寻找这些用户 并按需提醒你进可登.ad见图2
图2Tenable.ad可发送邮件时用户设置免密码
面向不要求密码的用户设置用户账号以请求密码简单化 :
网用户
我强烈鼓励你验证用户是否允许空白密码并修复漏洞,以免环境中其他人试图攻击这些设置
欲了解更多此题目和策略 增强主动目录安全访问tenable.ad产品页.
博客文章原创于二零零二年七月十四日Alsid网站
相关文章
- 活动目录