Неочевидная возможность создать учетные записи пользователей Active Directory без пароля (с пустым паролем) является одной из угроз безопасности домена. В этой статье мы рассмотрим, можно ли создать в домене пользователей без пароля, как найти и отключить таких пользователей.
Если у пользователя включен атрибут
PASSWD_NOTREQD
(пароль не требуется), потенциально это позволяет задать для такой учетной записи пустой пароль, даже если политика паролей домена явно запрещает это. Атрибут PASSWORD_NOT_REQ не является отдельным атрибутом класса user в AD, а хранится в значении составного атрибута userAccountControl (представляет собой битовую маску состояния учетной записи пользователя).
Сначала рассмотрим, как задать пустой пароля для произвольного пользователя.
Чтобы включить атрибут PasswordNotRequired для пользователя, воспользуйтесь PowerShell командлетом Set-ADUser:
Get-ADUser i a.novach | Set-ADUser -PasswordNotRequired $true
Теперь проверим, что для пользователя теперь не требуется пароль:
Get-ADUser a.novach -Properties *| select name,PasswordNotRequired
Также отключить требование пароля для пользователя можно из графической оснастки Active Directory Users and Computers (
dsa.msc
). Откройте свойства пользователя, перейдите на вкладку редактора атрибутов и отредактируйте значение атрибута UserAccountControl. Чтобы включить опцию PASSWD_NOT_REQD, нужно добавить 32 (в десятичной системе) к текущему значению атрибута.
После того, как для пользователя включен атрибут PASSWD_NOT_REQD, он не сможет самостоятельно установить для себя пустой пароль (через обычную процедуру смену пароля). Однако администратор домена, член группы Account Operator или пользователь, которому делегированы административные права на смену паролей других учетных записей, сможет сбросить (изменить) пароль такого пользователя на пустой.
Откройте консоль ADUC, щелкните по пользователю и выберите Reset Password. Не указывайте новый пароль и подтверждение (оставьте поля для ввода пароля пустыми).
В этом случае парольная политика AD не запретит создание пустого пароля. Теперь этот пользователь сможет войти на компьютер Windows домен с пустым паролем, просто указав свою учетную запись и нажав Enter.
Пользователи с пустыми паролями могут быть существенной угрозой безопасности домена, т.к. их легко обнаружить.
Администраторам для предотвращения появления пользователей без паролей нужно отслеживать наличие в домене пользователей, у которых включен атрибут PASSWD_NOTREQD. Проще всего найти таких пользователей с помощью PowerShell:
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Для найденных пользователей нужно сбросить пароль и отключить опцию PasswordNotRequired:
Set-ADAccountPassword a.novach -Reset
Get-ADUser -Identity a.novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
