×

域内账户定期修改密码策略深入研究

hqy hqy 发表于2022-06-10 16:46:40 浏览1115 评论0

抢沙发发表评论

http://www.360doc.com/content/19/0104/16/50391_806513499.shtml

【摘要】

 为了加强账户密码安全性管理工作,系统管理员计划通过域策略设置账号定期修改密码策略,减少可能会出现的未知风险,本文针对这个问题的原理机制进行深入研究。

【正文】

    实验环境:

一台域控,一台成员服务器,搭建单林单域架构。新建user1、user2、User3、user4等测试账号,通过powersehll命令设置账号属性,模拟用户密码到期实验。

如下是PS命令:

# Bind to user object in AD.
$User = [ADSI]"LDAP://cn=user4,ou=student,dc=contoso,dc=net"
# Expire password immediately.
$User.pwdLastSet = 0
# Save change in AD.
$User.SetInfo()

实验一:普通用户登录账号对比测试

   有两个账号user4和user5,user4没有设置了密码永不过期user5设置了密码永不过期。用PS命令查看用户属性。

用户user4的属性如下:

985761c2788616f9bb939650ff144c05_151233895_1_20190104045952474.png

1f18770ebaad39e71858aeb296d5db39_151233895_2_20190104045952865.png


用户user5的属性如下:

5d8eb8918a43661578554970c4a1c9be_151233895_3_20190104045953146.jpg

21f33b7a30713b092ef3fffa893a013a_151233895_4_20190104045953381.png

运行命令,强制让用户账号密码到期

d4261558e21517a14641e886f3f2b300_151233895_5_20190104045953599.jpg

87824f24bf5291a23e9ab7513409cf00_151233895_6_20190104045953849.jpg

User4和user5强制密码到期后,查看用户属性的变化:

94932ed285c3f4f53a17b28050138dd4_151233895_7_20190104045953990.jpg

e9076711db272ab9f763aed2e6f42b78_151233895_8_20190104045954349.png

28bca74280e6375d0ba9098ce765b0a8_151233895_9_20190104045954631.png

548aba84c0795ee094a099b7bc5933d7_151233895_10_20190104045954927.png



从用户属性值变化中可以看出,对user5这种设置密码永不过期的账号来说,passwordExpired 的属性值还是False。

此时账号的属性如下:

059c92ab30e4786a0c9281a662a3d380_151233895_11_20190104045955209.jpg

59efb3f3e4498af1c7158b41e4b3e58a_151233895_12_20190104045955474.jpg


现在分别用用户user4和user5登录成员服务器对比现象:

对于user4来说,登录时,需要修改密码

3cb7ed7d53b42e8935bfe29df6521093_151233895_13_20190104045955724.jpg

对于user5来说,登录时,直接进去用户界面

7c328b9884def63586fa50463d90a3fc_151233895_14_20190104045955834.jpg

实验二:服务启动账号相关对比测试

  设置user3为SQL server 服务的启动账号,账号没有勾选密码永不过期,账号属性如下:

1b6ed71cabb132157b1da279a96d94cd_151233895_15_2019010404595668.jpg

9665ea03297bb75edc9edf4779238869_151233895_16_20190104045956287.jpg


User3 作为SQL server 服务启动账号

ed07f5a1dd05734803e251f5bb6e41bc_151233895_17_20190104045956490.jpg

数据库能够正常连接:

b96e7f787f4e66b77d5e33c42141e66b_151233895_18_20190104045956662.jpg

应用脚本,将user3的账号密码强制到期

2c79e823743df3e2f1487453db975532_151233895_19_20190104045956849.jpg

e552d71206222c6cacc3b9c6d5eca54e_151233895_20_20190104045956912.jpg

此时账号user3

ecbae973b62e47d7c744cd7eb3e04af0_151233895_21_20190104045956990.jpg

查看SQL 应用情况:

服务正常启动

9ea258bcf1dbc6c6d14ed70c5b4b6648_151233895_22_2019010404595784.jpg

连接数据库也没有问题

ae4d2df6196f94982c761cf6703c89b9_151233895_23_20190104045957256.jpg

尝试重启一下SQL server 服务

527e06508fd792e6de98e095b2a0ce41_151233895_24_20190104045957349.jpg

此时就会报错,服务无法启动

979e46e1b602f2a927e5db1d90471085_151233895_25_20190104045957443.jpg

数据库无法连接

c50a09b5751e13a8aae854885b5eb912_151233895_26_20190104045957521.jpg

尝试登录AD用户管理控制台将user3账户选项的用户下次登录时更改密码的勾去掉

a09c1c15ae4ab16f698477c0335f8fac_151233895_27_20190104045957724.jpg

去掉后

9ebf596d1bc802ddcb82fdc14f500fd1_151233895_28_20190104045957865.jpg

再次尝试重启SQL server 服务

8012cf96457c9411cb1baa53770c9c6f_151233895_29_2019010404595837.jpg

服务启动正常

2eb54718c1cfc6b8d0b1baf78ea916be_151233895_30_20190104045958115.jpg

数据库连接正常

6711f3a24a02754643f07266276f3bb7_151233895_31_20190104045958318.jpg

如果将user3勾选密码永不过期

6797205f3f67925223a5a258110e483d_151233895_32_20190104045958396.jpg

再强制密码过期

8c7af014b7ecdcdd674948bdcab9a003_151233895_33_20190104045958474.jpg

账号属性如下:

370ddd9870b52de93eefaa0b08e3a681_151233895_34_20190104045958553.jpg

测试SQL server 服务重启

0ac3ec2c21663f73d1779355cce47d0b_151233895_35_20190104045958615.jpg

服务正常

a0de2a33189ae72098bc98b3d81732c1_151233895_36_20190104045958693.jpg

其他实验,如共享文件的账户密码到期。如果账号是登录状态,账号还能正常访问共享。如果账户注销,再次登录,会提示修改密码。

【实验结论】

(1)    账户设置了密码永不过期,应用账户定期修改密码策略时,密码存活时间到期了,该账户的passwordexpired属性值还是false。该账户对各种应用的访问不会受到影响。

(2)    账户没有设置了密码永不过期,应用账户定期修改密码策略时,密码存活时间到期了,该账户的passwordexpired属性值变成True。从AD用户和计算机管理控制台上看,用户的账户选项多了一个用户下次登录时必须修改密码的选项。Windows现在使用kerberos认证机制,账户与域控进行身份验证后,会生成临时凭证进行身份验证。像服务启动账户,账户密码已经到期,服务还可以运行,因为是使用以前生成的临时凭证。重启服务时,需要与域控重新进行身份验证,多了一条下次修改密码的选项设置,所以验证通过不了。从AD用户和计算机管理控制台上看,下次修改密码的选项的勾还在。

(3)    如果应用账户定期修改密码的策略,需要提前整理服务启动账号和应用程序相关账号等。如果存在遗漏的情况,最快捷的方式就从AD用户管理控制台找到该账户,将下一次登录必须修改密码的勾去掉,勾选密码永不过期,重启服务或者应用就能正常访问。


打赏

本文链接:https://www.kinber.cn/post/2262.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客