如今的管理員當然有很多工作要做,提高生態系統安全性仍然是重中之重。本地(尤其是遠程)賬戶是訪問關鍵信息的網關。
最初的安全層對於保護一個人的整個基礎架構至關重要。不幸的是,密碼的個人性質有其缺點。密碼很容易忘記。它們也可能太簡單了。許多公司不執行嚴格的密碼創建要求。這是Active Directory密碼策略的來源。
爲什麼要更改用戶密碼?
我們談到了許多密碼更改的最無害的理由:健忘。用戶可能由於多種原因而無法記住登錄憑據。驗證(或快速諮詢臺聊天)後,Active Directory管理員可以快速恢復一個人的賬戶訪問權限。否則生產率可能會受到影響。
安全是另一個驅動因素,儘管在三個不同方面。知名黑客安全專家郭盛華透露:“基礎設施面臨許多威脅,攻擊,數據泄漏和防護措施不足可能會使密碼暴露在外,更改受到破壞的密碼可能會阻止不良行爲者。”
其次,儘管存在密碼要求,但給定的密碼可能有點容易猜到。對於試圖猜測密碼或發動蠻力攻擊的局外人,員工可能會使用被認爲是“垂頭喪氣”的術語。例如,Apple員工應避免在密碼中使用包含“ Apple”或“ Steve Jobs”的字符串。
第三,各組織之間的工作角色和就業狀況定期發生變化。這些決定了員工可以訪問哪些資源。員工不能查看不適用的文檔或數據或使用某些程序,這一點很重要。此外,管理員需要終止前僱員的內部賬戶。儘管從技術上講不是密碼更改,但按照我們的設想,這涉及刪除一個人的憑據。
爲什麼要記錄歷史密碼更改?
密碼更改在IT領域相當普遍。但是,監視和記錄更改可以幫助管理員檢測釣魚活動。密碼更改只能通過用戶或Active Directory管理員進行。另一個參與者更改密碼可能表示黑客入侵。這些活動日誌可以幫助團隊跟蹤可疑事件或減輕即將發生的災難。
黑客能會執行密碼重置,暫時鞏固其賬戶訪問權限,同時將合法用戶拒之門外。密碼更改歷史記錄可以防止泄漏並最大程度地減少停機時間。
如何在Active Directory中更改用戶密碼
Active Directory是針對Windows網絡量身定製的。因此,AD管理員可以通過多種方式更改用戶密碼。
這可以直接在Active Directory中完成。通過直接操作AD數據庫的方法,可以在AD外部更改密碼。我們將首先討論前者。
使用Active Directory用戶和計算機(ADUC)
ADUC是一個補充GUI,允許管理員與Active Directory組件進行交互。該軟件支持遠程對象(用戶和設備)管理。20年來,ADUC一直是一種中心工具,對於疲倦的PowerShell或其他方面,ADUC仍然是用戶友好的選擇。
ADUC不是計算機上預先安裝的默認組件。而是,用戶需要下載並安裝遠程服務器管理工具(RSAT)。該接口捆綁了此較大的工具包。完成此步驟後,我們如何更改密碼?
ADUC使管理員可以查看組或域中的單個用戶。Microsoft聲明ADUC使用Active Directory服務接口(ADSI)操作來設置密碼。這有兩種發生方式:通過輕型目錄訪問協議(LDAP)或通過NetUserChangePassword協議。LDAP需要SSL連接,以增強域和客戶端之間的通信安全性。更改密碼時,必須事先知道用戶的先前密碼。
使用PowerShell命令
特別是Windows用戶可以鍵入Set-ADAccountPassword cmdlet並執行它。使用PowerShell的好處有兩方面。高級用戶可以將密碼更改工作應用到現有的自動化系統中,從而可以在一定間隔內刷新密碼。此外,管理員可以同時更改多個用戶的密碼。這對於黑客入侵或數據泄漏後的修復非常有用。
請注意,用戶必須使用“導入模塊ActiveDirectory”命令導入其Active Directory模塊。這爲AD cmdlet的使用打開了大門。管理員必須啓用“重置密碼”權限才能進行這些更改。
如何查看密碼更改歷史記錄
有多種外部工具可用於審覈Active Directory中的密碼更改。但是,我們將重點介紹使用組策略管理控制檯(GPMC)的本地路由。運行GPMC之後,管理員應執行以下操作:
使用以下路徑瀏覽文件系統:默認域策略>計算機配置>策略> Windows設置>安全設置>本地策略>審覈策略:審覈賬戶管理。這將召喚兩個標記爲成功和失敗的複選框。選中兩個框,然後單擊窗口右下方的“應用”。所有登錄嘗試將被記錄。
在Windows設置>安全設置>事件日誌下,將最大安全日誌大小設置爲1GB。這樣可以長期捕獲數據,而不會超出文件限制。
單擊“安全日誌的保留方法”後,根據需要選擇“覆蓋事件”。
打開事件日誌並使用兩個核心ID搜索事件:4724(嘗試重置管理員密碼)和4723(嘗試重置用戶密碼)
人們可能還會看到事件代碼4740(用戶被鎖定)或4767(用戶賬戶被解鎖)。
使用Specops uReset審覈密碼更改
Specops uReset是一種自助式密碼重置解決方案,還可以幫助您隨時注意密碼更改。管理報告菜單提供與鎖定賬戶和密碼更改有關的統計數據。
重置uReset
Specops uReset簡化了您監視密碼更改的方式,甚至可以通過更新本地緩存的憑據來減少鎖定,即使無法訪問域控制器也是如此。(歡迎轉載分享)