AD Starter Scan - 非到期帳戶密碼

medium Nessus Plugin ID 150483

語系：

概要

密碼永不過期的帳戶

說明

Active Directory 帳戶可設定為逸出全域密碼更新原則。如此設定的帳戶可無限期使用，而無需變更密碼。使用者和系統管理員帳戶絕不應設定此屬性。

根據預設，此檢查會略過已停用的帳戶。若要同時檢查已停用的帳戶，請啟用徹底測試。

注意：此外掛程式是 Active Directory Starter Scan 範本的一部分，主要用於 AD 主機的初步分析。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解決方案

密碼到期原則可限制攻擊者在密碼變更前猜測或破解密碼的風險。所有使用者帳戶和系統管理員帳戶皆必須遵守此原則，無一例外。

服務帳戶可能更難以處理：如果密碼過期，且應用程式開發人員未將密碼納入考量，服務可能會停止運作。然後，必須寫入一個特殊程序，以允許定期手動變更密碼。

注意：AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用，以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署，預期會有準確的初步分析，而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations