重設密碼

說明

來源安全主體可重設目標的密碼，進而使用新的密碼屬性以目標的身分進行驗證，並取得目標的權限。

重設密碼與變更密碼不同，知道目前密碼的任何人皆可變更密碼。當密碼到期時，通常會發生密碼變更。

利用

入侵來源安全主體的攻擊者可使用本機 Windows 命令 (如「net user /domain」)、PowerShell (如「Set-ADAccountPassword -Reset」)、管理工具 (如「Active Directory 使用者和電腦」) 或專用的駭客工具 (如 PowerSploit) 重設目標的密碼。

然後，攻擊者只需要使用合法的驗證方法 (加上其新選擇的密碼) 通過 Active Directory 或目標資源的驗證，即可完全模擬目標。

但是，攻擊者通常不知道先前的密碼，無法在攻擊之後還原。因此，目標背後的合法人員常常可以看到攻擊，而此攻擊甚至可造成拒絕服務，特別是對於服務帳戶而言。

修復

IT 管理員和服務台工作人員可以合法重設密碼。但是，您必須建立適當的委派，讓他們只在允許的範圍內執行此動作。

此外，根據階層處理模型，您必須確保較低層級的員工 (例如普通使用者的服務人員) 不能重設較高層級帳戶 (例如網域管理員) 的密碼，因為這是特權提升的機會。

如要修改目標的安全性描述元並移除非法權限：

1. 在「Active Directory 使用者和電腦」中，右鍵按一下「屬性」>「安全性」。

2. 移除授予來源安全主體的「重設密碼」權限。

注意：請勿將此權限與「變更密碼」權限混淆。

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• RODC 管理

• 寫入 DACL

• 寫入所有者