域成员: 禁用计算机帐户密码更改
06/27/2019
本文内容
适用范围
Windows 10
介绍 Domain 成员的最佳方案、位置、值和安全注意事项:禁用计算机 帐户密码更改 安全策略设置。
参考
域 成员:禁用计算机帐户密码更改 策略设置确定域成员是否定期更改其计算机帐户密码。 将此值设置为 Enabled 可阻止域成员更改计算机帐户密码。 如果设置为 Disabled, 则允许域成员更改由 Domain member: Maximum machine account password age 策略设置的值指定的计算机帐户密码,此设置默认为每 30 天一次。
默认情况下,属于某个域的设备需要每 30 天自动更改其帐户的密码。 无法再自动更改其计算机密码的设备面临恶意用户确定系统域帐户密码的风险。
验证域 成员:禁用计算机帐户密码更改 选项是否设置为 已禁用。
可能值
已启用
禁用
最佳做法
不要启用此策略设置。 计算机帐户密码用于在成员和域控制器之间以及域中的域控制器之间建立安全通道通信。 建立安全通道后,安全通道将传输做出身份验证和授权决策所需的敏感信息。
不要使用此策略设置尝试支持使用相同计算机帐户的双启动方案。 如果要配置加入同一域的双启动安装,请为两个安装提供不同的计算机名称。 此策略设置已添加到 Windows 操作系统,以帮助组织为在几个月后投入生产中的预建计算机创建计算机。 这些设备不需要重新加入域。
您可能需要考虑在特定的环境中使用此策略设置,例如:
非永久性虚拟桌面基础结构实现。 在此类实现中,每个会话从只读基本映像开始。
对操作系统卷没有写入访问权限的嵌入设备。
在任一情况下,会话一结束,在正常操作期间进行的密码更改都会丢失。 强烈建议您为维护窗口规划密码更改。 将密码更改添加到 Windows 在维护窗口期间执行的更新和修改。 若要触发特定操作系统卷的密码更新,请运行以下命令:
Nltest /sc_change_pwd:
在此命令中 ,表示本地计算机的域。 有关维护窗口和非永久性 VDI 实现的信息,请参阅针对虚拟桌面基础结构 (VDI) 角色优化Windows 10 版本 1803:VDI 优化原则:非永久性 VDI。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
禁用
默认域控制器策略
禁用
Stand-Alone服务器默认设置
禁用
DC 有效默认设置
禁用
成员服务器有效默认设置
禁用
客户端计算机有效默认设置
禁用
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
默认情况下,运行属于某个域的 Windows Server 的设备会每隔特定天数(通常为 30 天)自动更改其帐户的密码。 如果禁用此策略设置,则运行 Windows Server 的设备将保留与计算机帐户相同的密码。 无法自动更改其帐户密码的设备面临攻击者的风险,攻击者可能会确定计算机域帐户的密码。
对策
验证域 成员:禁用 计算机帐户密码更改设置是否配置为 已禁用。
潜在影响
无。 这是默认配置。
相关主题
864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
