空白のパスワードで広告ユーザーを見つける方法(パスワードなし)

Active Directoryでよく見過ごされているセキュリティリスクの1つは、パスワードなしでユーザーアカウントを作成する機能です(空白のパスワードを使用)。この記事では、パスワードなしでドメインユーザーアカウントを作成できるかどうか、そのようなアカウントを見つける方法、およびそれらを無効にするかどうかを調べます。
最小パスワードの長さが有効になっています。
多くのActive Directory管理者は、Enforcesisを有効にしたデフォルトのドメインパスワードポリシーがあっても、空白のパスワードを持つドメインアカウントが存在する可能性があることを知って驚くかもしれません。
passwd\_notreqd属性がユーザーアカウントに対して有効になっている場合、そのアカウントは、ドメインのパスワードポリシーが最小パスワード長を必要とするにもかかわらず、空白のパスワードを設定できる場合があります。 PassWD_NOTREQD属性は、Active Directory(AD)のユーザークラスの個別の属性ではありません。 Composite Attribute userAccountControlの値に保存されます(各ビットは、無効、ロックされた、パスワードが期限切れになるなどの特定のユーザーアカウントプロパティを表すフラグであるビットマスクです)。
まず、広告ユーザーアカウントの空のパスワードを設定する方法を見てみましょう。 Set-Aduser PowerShell CMDLETを使用して、ユーザーのPasswordNotRequired属性を有効にします。
get-aduser novach | set-aduser-passwordnotrequired $ true
次に、アカウントにパスワードが不要になったことを確認しましょう。
get-aduser novach-properties *|名前を選択、passwordNotRequired

Active Directoryユーザーとコンピューターグラフィカルスナップイン( dsa.msc)を使用して、ユーザーのパスワード要件を無効にすることもできます。 ADUCでユーザープロパティを開きます。 属性エディタータブに移動し、useraccountControl属性の値を編集します。属性の現在の値に32(小数)を追加して、passwd_not_reqdオプションを有効にします。
たとえば、この属性の初期値は66048でした。この値は、Normal_Account属性(512)とdont_expire_password属性(65536)の合計です。現在の値に32を追加して、このアカウントのPASSWD_NOT_REQDフラグを有効にします。結果は次のとおりです
66080。

ユーザーに対してpasswd_not_reqd属性が有効になると、彼は自分のために空のパスワードを設定することができません(標準のユーザーパスワード変更手順を使用)。ただし、ドメイン管理者、アカウントオペレーターグループのメンバー、または他のアカウントのパスワードを変更するための委任された広告管理権限を持つユーザーは、ユーザーのパスワードをブランクにリセットできます。
ADUCスナップインを開き、ユーザーを右クリックして、パスワードのリセットを選択します。新しいパスワードを入力しないでください。パスワードフィールドを空白のままにしてください。

この場合、広告パスワードポリシーは空白のパスワードの作成を妨げません。ユーザーは、ログオン画面でアカウントを選択してEnterを押すことで、空白のパスワードを使用してWindowsドメイン接合コンピューターにサインインできるようになりました。

ドメインのセキュリティは、簡単に検出できるため、空白のパスワードを持つユーザーによって侵害される可能性があります。
パスワードなしでユーザーの作成を防ぐために、管理者はPASSWD_NOTREQD属性を有効にしているユーザーのドメインを監視する必要があります。次のPowerShell One-Linerを使用して、そのようなすべてのユーザーをリストします。
get-aduser-filter {passwordnotrequired-eq $ true} -properties lastlogontimestamp、passwordnotrequired | ft samaccountname、enabled、passwordnotrequired、 @{n = ’lastlogontimestamp'; e = {datetime :: fromfiletime($ \_。lastLogontimestamp)}}}

パスワードをリセットし、見つかったユーザーに必要な不要なオプションを無効にします。
`set-adaccountPassword novach-reset
Get-Aduser-Identity novach | set-aduser-passwordnotrequired $ false-changepasswordatlogon $ true `
*÷ソースリンク:
、デフォルトのドメインパスワードポリシー、属性ユーザーアックカウントコントロール、セットアデューザー、get-aduser、アクティブディレクトリユーザー、コンピューターグラフィカルスナップイン、属性エディタータブ、委任された広告管理権限を備えたユーザー、ユーザーのパスワードをリセットする、Windowsドメインに接続されたコンピューター、