<html

/de/images/add-passwd_not_reqd-flag-to-useraccountcontrol-att.png

Ein häufig übersehenes Sicherheitsrisiko in Active Directory ist die Möglichkeit, Benutzerkonten ohne Passwort zu erstellen (mit einem leeren Passwort). In diesem Artikel werden wir untersuchen, ob es möglich ist, Domänenbenutzerkonten ohne Passwort zu erstellen, solche Konten zu finden und diese zu deaktivieren.

Die minimale Passwortlänge ist aktiviert.

Viele Active Directory -Administratoren können überrascht sein zu erfahren, dass Domänenkonten mit leeren Passwörtern vorhanden sind, selbst wenn die Standard -Domain -Kennwortrichtlinie, die ermöglicht hat,.

Wenn das Attribut passwd\_notreqd für ein Benutzerkonto aktiviert ist, kann dieses Konto möglicherweise ein leeres Kennwort festlegen, obwohl die Kennwortrichtlinie der Domäne eine minimale Kennwortlänge erfordert. Das Passwd_notreqd -Attribut ist kein separates Attribut der Benutzerklasse in Active Directory (AD). Es wird im Wert des Composite Attributs UserAccountControl gespeichert (ist ein Bitmaske, bei dem jedes Bit ein Flag ist, das eine bestimmte Benutzerkonto-Eigenschaft wie deaktiviert, gesperrt, Kennwort abgibt usw.).

Schauen wir uns zunächst an, wie Sie ein leeres Passwort für ein Anzeigenbenutzerkonto festlegen. Verwenden Sie das Set-Aduser PowerShell CMDLET, um das Attribut für passwindungsnotRequired für einen Benutzer zu aktivieren.

Get-Aduser Novach | Set-Aduser-PasswordNotRequed $ true

Lassen Sie uns nun überprüfen, ob ein Passwort für das Konto nicht mehr erforderlich ist.

Get-Aduser Novach-Properties *| Wählen Sie Name, PasswordNotRequed

/de/images/enable-passwordnotrequired-for-user-in-ad-with-pow.png

Die Active Directory-Benutzer und -Computergrafik-Snap-In (DSA.MSC) können auch verwendet werden, um die Kennwortanforderung für einen Benutzer zu deaktivieren. Öffnen Sie die Benutzereigenschaften in ADUC. Gehen Sie zur Registerkarte Attributeditor und bearbeiten Sie den Wert des userAccountControl -Attributs. Aktivieren Sie die Option PASSWD_NOT_REQD, indem Sie den aktuellen Wert des Attributs 32 (in Dezimal) hinzufügen.

Beispielsweise betrug der Anfangswert dieses Attributs 66048. Dieser Wert ist die Summe des Attributs von NORMAL_ACCOUNT (512) und des Attributs dont_expire_password (65536). Fügen Sie dem aktuellen Wert 32 hinzu, um das Flag PASSWD_NOT_REQD für dieses Konto zu aktivieren. Das Ergebnis ist

/de/images/add-passwd_not_reqd-flag-to-useraccountcontrol-att.png

Sobald das Attribut für passwd_not_reqd für einen Benutzer aktiviert ist, kann er kein leeres Kennwort für sich selbst festlegen (mithilfe der Standard-Änderung des Standard-Benutzerkennwortänderungsverfahrens). Ein Domänenadministrator, ein Mitglied der Kontenbetreibergruppe oder ein Benutzer mit delegierten AD -Administratorberechtigungen, um Passwörter für andere Konten zu ändern, kann das Passwort eines Benutzers auf leer zurücksetzen.

Öffnen Sie das ADUC-Snap-In, klicken Sie mit der rechten Maustaste auf den Benutzer und wählen Sie das Kennwort zurücksetzen. Geben Sie kein neues Passwort ein und lassen Sie die Kennwortfelder leer.

/de/images/set-a-blank-password-for-active-directory-account.png

In diesem Fall verhindert die Anzeigenkennwortrichtlinie die Erstellung eines leeren Passworts nicht. Der Benutzer kann sich nun auf einem von Windows Domänen geeigneten Computer mit einem leeren Passwort anmelden, indem er sein Konto auf dem Anmeldebildschirm auswählt und die Eingabetaste drückt

/de/images/sign-in-windows-domain-without-a-password.png

Die Domänensicherheit kann von Benutzern mit leeren Passwörtern beeinträchtigt werden, da sie leicht zu erkennen sind.

Um die Erstellung von Benutzern ohne Kennwörter zu verhindern, müssen Administratoren die Domäne für Benutzer überwachen, die das Attribut “PASSWD_NOTREQD” aktivieren lassen. Verwenden Sie den folgenden PowerShell-One-Liner, um alle dieser Benutzer aufzulisten:

Get-Aduser-Filter {passwordnotRequired-eq $ true} -Properties lastLogontimestamp, passwordnotRequired | ft samAccountName, aktiviert, passwordnotRequired, @{n = 'lastLogontimestamp'; e = {DateTime :: FromFileTime ($ \_. LastLogontimestamp)}}

/de/images/powershell-find-ad-users-with-blank-passwords.png

Setzen Sie die Kennwörter zurück und deaktivieren Sie das Kennwort nicht erforderlich für die gefundenen Benutzer.

`Set-adcountpassword novach-reset

Get-Aduser-Identität Novach | Set-Aduser-PasswordNotRequired $ false-ChangepasswordatLogon $ true

*️⃣ Quellverknüpfung:

, Standard-Domain-Kennwortrichtlinie, Attribut userAccountControl, Set-Aduser, Get-Aduser, Active Directory-Benutzer und Computer Grafische Snap-In, Registerkarte Attributeditor, Benutzer mit delegierten AD-Administratorberechtigungen, Zurücksetzen des Kennworts eines Benutzers, Windows Domain-gejnsamer Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, Computer, computer, resetzen Sie das Kennwort eines Benutzers zurück.