如何审核Active Directory中的密码更改
如今的管理员当然有很多工作要做,提高生态系统安全性仍然是重中之重。本地(尤其是远程)账户是访问关键信息的网关。
最初的安全层对于保护一个人的整个基础架构至关重要。不幸的是,密码的个人性质有其缺点。密码很容易忘记。它们也可能太简单了。许多公司不执行严格的密码创建要求。这是Active Directory密码策略的来源。
为什么要更改用户密码?
我们谈到了许多密码更改的最无害的理由:健忘。用户可能由于多种原因而无法记住登录凭据。验证(或快速咨询台聊天)后,Active Directory管理员可以快速恢复一个人的账户访问权限。否则生产率可能会受到影响。
安全是另一个驱动因素,尽管在三个不同方面。知名黑客安全专家郭盛华透露:“基础设施面临许多威胁,攻击,数据泄漏和防护措施不足可能会使密码暴露在外,更改受到破坏的密码可能会阻止不良行为者。”
其次,尽管存在密码要求,但给定的密码可能有点容易猜到。对于试图猜测密码或发动蛮力攻击的局外人,员工可能会使用被认为是“垂头丧气”的术语。例如,Apple员工应避免在密码中使用包含“ Apple”或“ Steve Jobs”的字符串。
第三,各组织之间的工作角色和就业状况定期发生变化。这些决定了员工可以访问哪些资源。员工不能查看不适用的文档或数据或使用某些程序,这一点很重要。此外,管理员需要终止前雇员的内部账户。尽管从技术上讲不是密码更改,但按照我们的设想,这涉及删除一个人的凭据。
为什么要记录历史密码更改?
密码更改在IT领域相当普遍。但是,监视和记录更改可以帮助管理员检测钓鱼活动。密码更改只能通过用户或Active Directory管理员进行。另一个参与者更改密码可能表示黑客入侵。这些活动日志可以帮助团队跟踪可疑事件或减轻即将发生的灾难。
黑客能会执行密码重置,暂时巩固其账户访问权限,同时将合法用户拒之门外。密码更改历史记录可以防止泄漏并最大程度地减少停机时间。
如何在Active Directory中更改用户密码
Active Directory是针对Windows网络量身定制的。因此,AD管理员可以通过多种方式更改用户密码。
这可以直接在Active Directory中完成。通过直接操作AD数据库的方法,可以在AD外部更改密码。我们将首先讨论前者。
使用Active Directory用户和计算机(ADUC)
ADUC是一个补充GUI,允许管理员与Active Directory组件进行交互。该软件支持远程对象(用户和设备)管理。20年来,ADUC一直是一种中心工具,对于疲倦的PowerShell或其他方面,ADUC仍然是用户友好的选择。
ADUC不是计算机上预先安装的默认组件。而是,用户需要下载并安装远程服务器管理工具(RSAT)。该接口捆绑了此较大的工具包。完成此步骤后,我们如何更改密码?
ADUC使管理员可以查看组或域中的单个用户。Microsoft声明ADUC使用Active Directory服务接口(ADSI)操作来设置密码。这有两种发生方式:通过轻型目录访问协议(LDAP)或通过NetUserChangePassword协议。LDAP需要SSL连接,以增强域和客户端之间的通信安全性。更改密码时,必须事先知道用户的先前密码。
使用PowerShell命令
特别是Windows用户可以键入Set-ADAccountPassword cmdlet并执行它。使用PowerShell的好处有两方面。高级用户可以将密码更改工作应用到现有的自动化系统中,从而可以在一定间隔内刷新密码。此外,管理员可以同时更改多个用户的密码。这对于黑客入侵或数据泄漏后的修复非常有用。
请注意,用户必须使用“导入模块ActiveDirectory”命令导入其Active Directory模块。这为AD cmdlet的使用打开了大门。管理员必须启用“重置密码”权限才能进行这些更改。
如何查看密码更改历史记录
有多种外部工具可用于审核Active Directory中的密码更改。但是,我们将重点介绍使用组策略管理控制台(GPMC)的本地路由。运行GPMC之后,管理员应执行以下操作:
使用以下路径浏览文件系统:默认域策略>计算机配置>策略> Windows设置>安全设置>本地策略>审核策略:审核账户管理。这将召唤两个标记为成功和失败的复选框。选中两个框,然后单击窗口右下方的“应用”。所有登录尝试将被记录。
在Windows设置>安全设置>事件日志下,将最大安全日志大小设置为1GB。这样可以长期捕获数据,而不会超出文件限制。
单击“安全日志的保留方法”后,根据需要选择“覆盖事件”。
打开事件日志并使用两个核心ID搜索事件:4724(尝试重置管理员密码)和4723(尝试重置用户密码)
人们可能还会看到事件代码4740(用户被锁定)或4767(用户账户被解锁)。
使用Specops uReset审核密码更改
Specops uReset是一种自助式密码重置解决方案,还可以帮助您随时注意密码更改。管理报告菜单提供与锁定账户和密码更改有关的统计数据。
重置uReset
Specops uReset简化了您监视密码更改的方式,甚至可以通过更新本地缓存的凭据来减少锁定,即使无法访问域控制器也是如此。(欢迎转载分享)