擁有永不過期密碼的帳戶

medium

說明

Active Directory 帳戶應遵循全域密碼更新原則,此原則會禁止這些帳戶無限期使用而不變更密碼。

解決方案

密碼過期原則可降低攻擊者在密碼變更前猜到或破解密碼的風險。所有使用者帳戶和管理員帳戶都必須遵循此原則,無一例外。
服務帳戶需要特殊關注,因此可能會面臨挑戰。若服務帳戶密碼到期,而應用程式開發人員尚未更新密碼,則服務可能會停止正常運作。為了避免發生此類中斷現象,必須實行特定處理程序,以定期手動更新密碼。

另請參閱

Best Practices for Enforcing Password Policies

Configuring Password Policies

指標詳細資料

名稱: 擁有永不過期密碼的帳戶

代碼名稱: C-PASSWORD-DONT-EXPIRE

嚴重性: Medium

MITRE 攻擊資訊:

攻擊者已知工具

Gentil Kiwi: mimikatz