비밀번호를 재설정합니다. 비밀번호 변경
요약
이 기사에서는 비밀번호 재설정 및 비밀번호 변경의 차이점에 대해 설명합니다. 비밀번호 재설정은 관리자 나 적절한 권한을 가진 사람이 수행 할 수있는 관리 조치이며, 비밀번호를 변경하는 것은 사용자가 현재 비밀번호를 알아야하는 사용자 조치입니다. 또한 Windows 시스템에서 이러한 작업과 관련된 권한 및 이벤트 로깅을 탐색합니다.
키 포인트
- 비밀번호를 재설정하는 것은 관리 조치이며 비밀번호를 변경하는 것은 사용자 조치입니다.
- 비밀번호 변경을 위해서는 사용자가 현재 암호를 알아야하지만 비밀번호 재설정의 경우 이전 비밀번호가 필요하지 않습니다.
- 사용자는 “비밀번호 변경”권한이 필요하고 “비밀번호 재설정”권한이있는 사람은 다른 사람의 암호를 재설정 할 수 있습니다.
- 비밀번호 변경은 일반적으로 사용자 계정 제어판 또는 Windows의 로그온 대화 상자를 통해 수행됩니다.
- Active Directory 사용자 및 컴퓨터와 같은 계정 관리 도구를 통해 비밀번호 재설정을 수행 할 수 있습니다.
- Windows Server 2003 이상 버전에서는 비밀번호 변경 및 비밀번호 재설정 이벤트를 위해 다른 이벤트 ID가 기록됩니다.
- “비밀번호 재설정”권한은 관리자 또는 지원 담당자가 사용자의 잊혀진 비밀번호를 처리 할 때 사용됩니다.
- Active Directory에서 “비밀번호 변경”권한은 계정의 현재 비밀번호에 대한 지식이 필요하지만 “비밀번호 재설정”권한은.
- 기본적으로 사용자는 자신의 암호를 변경할 수 있지만 관리자 및 계정 운영자 만 비밀번호를 재설정 할 수 있습니다.
질문과 답변
Q : ACTIC DIRECTORY (AD) 비밀번호 재설정 권한과 다른 방법은 비밀번호 변경 권한과 어떻게 다른가요? Windows 시스템은 이벤트 뷰어에서 암호를 재설정하고 암호 이벤트를 변경하는 방법?
ㅏ: 비밀번호를 재설정하고 암호를 변경하는 것은 동일한 효과가 있지만 완전히 다른 두 가지 작업이 있습니다. 비밀번호 변경은 사용자가 현재 암호를 알고 “비밀번호 변경”권한을 갖도록 요구하는 사용자 조치입니다. 반면, 비밀번호 재설정은 “비밀번호 재설정”권한을 가진 사람이 수행 할 수있는 관리 조치이며 이전 비밀번호에 대한 지식이 필요하지 않습니다. Windows 이벤트 뷰어에서 비밀번호 변경 이벤트는 이벤트 ID 627로 기록되며 비밀번호 재설정 이벤트는 Windows Server 2003에서 시작하여 이벤트 ID 628로 기록됩니다. Windows 2000에서는 암호 변경 및 비밀번호 재설정 이벤트가 모두 이벤트 ID 627로 기록되었습니다.
Q : Active Directory (AD)의 사용자 객체에 대한 비밀번호 재설정 및 비밀번호 변경 권한의 차이점은 무엇입니까??
ㅏ: “비밀번호 변경”권한은 계정의 현재 비밀번호에 대한 지식이 필요하며 사람이 자신의 비밀번호를 변경할 수 있습니다. 반면에 “비밀번호 재설정”권한은 관리자 또는 지원 담당자가 사용자의 잊혀진 비밀번호를 처리 할 때 사용됩니다. 계정의 현재 비밀번호에 대한 지식이 필요하지 않습니다. 기본적으로 사용자는 자신의 암호를 변경할 수 있지만 관리자와 계정 운영자 만 Active Directory에서 비밀번호를 재설정 할 수 있습니다.
Q : 비밀번호 재설정이 실제로 비밀번호 변경과 어떻게 차별화 될 수 있습니까??
ㅏ: 비밀번호 재설정은 관리자 또는 적절한 권한이있는 사람이 시작할 수 있습니다. 사용자가 현재 비밀번호를 알아야 할 필요는 없습니다. 대조적으로, 비밀번호 변경은 사용자 자체가 수행하고 새 암호를 설정하기 전에 현재 암호를 입력해야합니다. 비밀번호 재설정 프로세스에는 일반적으로 고유 한 비밀번호 재설정 링크 또는 코드가 생성되는 반면, 비밀번호 변경은 일반적으로 사용자 계정 제어판 또는 로그인 대화 상자와 같은 사용자 인터페이스를 통해 수행됩니다.
Q : 비밀번호 재설정 및 암호 변경 기능을위한 별도의 페이지를 갖는 것이 더 안전합니까??
ㅏ: 예, 비밀번호 재설정 및 비밀번호 변경 기능을위한 별도의 페이지를 갖는 것은 일반적으로 더 안전한 것으로 간주됩니다. 비밀번호 재설정 링크 또는 코드는 종종 사용자의 이메일로 전송되며 재설정 프로세스에 대한 전용 페이지가 있으면 기존 비밀번호가 손상 될 위험없이 사용자가 새 비밀번호를 안전하게 설정할 수 있습니다. 반면, 비밀번호 변경 페이지는 사용자가 이미 로그인 한 경우에만 액세스 할 수 있어야하며 현재 암호를 제공하여 계정의 보안을 보장 할 수 있습니다.
Q : 비밀번호 재설정 시도를 기록하고 모니터링 할 수 있습니까??
ㅏ: 예, 비밀번호 재설정 시도를 기록하고 모니터링 할 수 있습니다. Windows 시스템에서 이벤트 로깅 및 감사 메커니즘을 활용하여 관리자는 비밀번호 재설정 이벤트를 추적하고 의심 스럽거나 무단 활동을 식별 할 수 있습니다. 또한 로그는 비밀번호 재설정과 관련된 보안 사고 또는 위반의 경우 법의학 분석을위한 귀중한 정보를 제공 할 수 있습니다.
Q : 비밀번호 재설정을 구현하고 기능을 변경할 때 명심해야 할 보안 고려 사항이 있습니까??
ㅏ: 예, 비밀번호 재설정을 구현하고 기능을 변경할 때 명심해야 할 몇 가지 보안 고려 사항이 있습니다. 여기에는 다음이 포함됩니다
- 암호화 된 이메일 또는 보안 메시징 시스템과 같은 비밀번호 재설정 링크 또는 코드를 보내기위한 보안 메커니즘 사용.
- 사용자가 강력하고 고유 한 비밀번호를 생성 할 수 있도록 강력한 비밀번호 정책을 적용합니다.
- 암호 재설정에 대한 무차별 힘 또는 자동화 된 공격을 방지하기위한 메커니즘 구현 및 기능 변경 기능.
- 비밀번호 재설정 및 변경 기능 변경과 관련된 권한 및 액세스 컨트롤을 정기적으로 검토하고 업데이트하여 승인되지 않은 액세스를 방지합니다.
- 비밀번호 재설정 및 변경 사항과 관련된 의심스러운 활동 또는 패턴에 대한 로그를 주기적으로 검토하고 모니터링.
- 비밀번호 재설정 및 변경 기능이 잠재적 인 취약점 또는 약점에 대해 올바르게 테스트 및 검토되도록 보장.
Q : 비밀번호 재설정 및 비밀번호 변경에 사용되는 방법을 사용자 정의 또는 확장 할 수 있습니까??
ㅏ: 예, 비밀번호 재설정 및 비밀번호 변경에 사용되는 방법은 응용 프로그램 또는 시스템의 특정 요구 사항에 따라 사용자 정의 및 확장 할 수 있습니다. 조직은 비밀번호 재설정 및 변경 기능의 보안을 향상시키기 위해 다단계 인증과 같은 추가 보안 조치를 구현할 수 있습니다. 또한 조직은 비밀번호 재설정 및 기능을 다른 ID 및 액세스 관리 시스템 또는 서비스와 통합하여 원활한 사용자 경험을 제공하고 여러 응용 프로그램에서 일관된 보안 관행을 보장 할 수 있습니다.
Q : 무단 암호 재설정 또는 변경의 잠재적 결과는 무엇입니까??
ㅏ: 무단 암호 리셋 또는 변경 사항이 심각한 결과를 초래할 수 있습니다. 특히 관리 또는 임원 계정에서 수행되는 경우. 비밀번호 재설정 또는 변경을 통해 관리 계정에 대한 액세스를 얻는 무단 개인은 민감한 정보에 대한 무단 액세스, 시스템 구성에 대한 무단 변경 또는 완전한 시스템 손상과 같은 상당한 손상을 초래할 수 있습니다. 따라서 강력한 보안 조치를 구현하고 암호 재설정 및 변경 활동을 면밀히 모니터링하여 무단 액세스를 방지하는 것이 중요합니다.
비밀번호를 재설정합니다. 비밀번호 변경
가해자의 (Mal-) 의도 및 전문 지식에 따라 관리 계정 또는 임원 계정의 비밀번호를 재설정 할 수있는 사람의 결과를 상상할 수 있습니다.
비밀번호 변경 대 암호 재설정 [폐쇄]
이 질문을 개선하고 싶습니다? 이 게시물을 편집하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오.
9 년 전에 문을 닫았습니다 .
사용자가 계정의 비밀번호를 잊어 버린 경우 비밀번호 재설정 링크를 요청할 수있는 페이지가 있습니다. 또한 사용자가 이미 계정에 로그인 한 경우 비밀번호를 변경할 수있는 방법을 만들고 싶습니다. 이러한 다른 유형의 비밀번호 재설정에 대해 별도의 페이지를 만드는 것이 좋습니다. 또는 사용자가 로그인되었는지 여부에 따라 양식을 변경해야합니다? 정말 중요합니다? 일반적인 표준이 있습니까??
2013 년 10 월 24 일에 2:42에 요청했습니다
셰인 a. Darr Shane a. 다서
521 6 6은 배지 16 16 청동 배지
이 주제는 UX에 더 적합합니다.Stackexchange.com.
2013 년 10 월 24 일 2:58
내 질문의 의도가 더 사용자 친화적이지는 않기 때문에 동의하지 않지만 개발 지점에서 더 표준적인 관행은 무엇입니까?. 저의 의도는 일반적으로 허용되는 프로그래밍 표준을 고수하고 가능한 한 안전하게 만드는 것입니다. 왜이 질문이 UX 질문으로 간주 될 수 있는지 알 수 있으며 내 질문의 이유를 더 분명하게 만들어야했습니다. 감사해요
2013 년 10 월 26 일 5:22
1 답변 1
별도의 페이지를 만듭니다. 링크 재설정 (사용자가 로그인되지 않은 경우)은 일반적으로 고유 한 get 값을 사용합니다. 사용자가 링크를 보내달라고 요청하면 값이 데이터베이스에 삽입됩니다. 사람이 재설정 페이지를 방문하면 서버는 URL에 입력 된 get 값을 확인합니다. get 값이 데이터베이스에있는 고유 한 값과 일치하면 사람에게 새 비밀번호를 넣을 수있는 기회가 주어집니다. 데이터베이스의 고유 한 값은 일반적으로 매우 빠르게 만료되도록 설정됩니다. 이렇게하면 사람들이 상자력을 사용하여 다른 사람의 비밀번호를 재설정하지 못하게됩니다.
사용자가 로그인 할 때 시작되는 간단한 비밀번호 변경과 위의 것을 혼합하고 싶지 않습니다.
2013 년 10 월 24 일 2시 50 분에 답변했습니다
로이드 뱅크스 로이드 뱅크스
35.4K 57 57 금 배지 155 155은 배지 246 246 청동 배지
귀하의 의견에 감사드립니다. 위에서 언급 한 잊혀진 비밀번호 프로세스에 대한 비밀번호 재설정은 제가 그 작업을 수행하는 방법입니다. 나는 그것을 올바르게하고 있다는 것이 기쁘다. 필요한 경우 비밀번호를 포함하여 정보를 변경할 수있는 업데이트 계정 정보 페이지 만 만들 것이라고 생각합니다.
2013 년 10 월 24 일 2:53
비밀번호를 변경하고 비밀번호를 재설정하는 것은 매우 다른 두 가지입니다. 사용자가 로그인하지 않을 때 비밀번호 재설정을 수행 할 수 있습니다. 비밀번호 변경은 사용자가 로그인하고 현재 비밀번호를 알고있을 때만 발생합니다.
비밀번호를 재설정합니다. 비밀번호 변경
Q : ACTIC DIRECTORY (AD) 비밀번호 재설정 권한과 다른 방법은 비밀번호 변경 권한과 어떻게 다른가요? Windows 시스템은 이벤트 뷰어에서 암호를 재설정하고 암호 이벤트를 변경하는 방법?
ㅏ: 비밀번호를 재설정하고 암호를 변경하는 것은 동일한 효과가 있지만 완전히 다른 두 가지 작업이 있습니다.
비밀번호 변경은 사용자가 자신의 Windows 사용자 계정에 새 비밀번호를 입력하는 사용자 작업입니다. Windows는 비밀번호를 변경하기 전에 사용자를 인증합니다. 즉, 사용자는 항상 이전 비밀번호를 입력하기 전에 이전 비밀번호를 입력해야합니다. 사용자는 비밀번호를 변경할 수 있도록 광고 도메인 계정 객체에 비밀번호 변경 권한이 있어야합니다. 사용자는 사용자 계정 제어판 애플릿 또는 CTRL+Alt+DEL을 누른 후 팝업되는 로그온 대화 상자에서 비밀번호 변경 옵션에서 비밀번호를 변경할 수 있습니다.
비밀번호 재설정은 Windows 관리자 (또는 사용자 계정 객체에 비밀번호 권한이있는 Windows 계정)가 사용자의 비밀번호를 재설정하는 관리 조치입니다. 비밀번호 변경과 달리 비밀번호 재설정은 이전 비밀번호에 대한 지식이 필요하지 않습니다. 사용자의 광고 도메인 계정 객체에 비밀번호를 재설정하는 모든 계정은 비밀번호 재설정을 수행 할 수 있습니다. 비밀번호 재설정은 MMC (Microsoft Management Console) Active Directory 사용자 및 컴퓨터 스냅인 또는 Active Directory 관리 센터와 같은 광고 계정 관리 도구 중 하나에서 시작할 수 있습니다.
Windows Server 2003부터 시작하여 Windows는 비밀번호 변경 및 비밀번호 재설정 이벤트에 대한 다른 이벤트 ID를 기록합니다. 암호 변경 이벤트 및 비밀번호 재설정 이벤트의 경우 이벤트 ID 627 로그인 이벤트 ID 627 로그. 비밀번호 변경 및 비밀번호 재설정 이벤트에 대한 Windows 2000 로그인 이벤트 ID 627.
비밀번호 재설정과 비밀번호 변경을 구별합니다
The의 차이점은 무엇입니까? 암호를 재설정 그리고 비밀번호를 변경하십시오 Active Directory (AD)의 사용자 객체에 대한 권한?
그만큼 비밀번호를 변경하십시오 권한은 암호를 변경 한 사람이 계정의 현재 비밀번호를 알고 있어야합니다. 관리자 또는 지원 담당자가 사용자의 잊혀진 암호를 처리하면 관리자 또는 지원 담당자가 암호를 재설정 계정의 현재 비밀번호에 대한 지식이 필요하지 않은 권한. Ad의 기본 권한을 사용하면 자신의 비밀번호를 변경할 수 있지만 관리자 및 계정 운영자 만 비밀번호를 재설정 할 수 있습니다.
암호를 재설정
암호를 재설정 웹 사이트, 서비스 또는 장치에서 계정에 대한 현재 비밀번호를 무효화 한 다음 새 비밀번호를 만드는 것입니다. 소프트웨어 또는 서비스의 설정을 사용하여 비밀번호가 재설정되거나 고객 서비스 부서에 연락하여 재설정 될 수 있습니다.
비밀번호 재설정이 필요한 경우 대부분의 서비스에는 웹 사이트에서 비밀번호를 재설정하도록 요청할 때 링크를 이메일로 보내는 “비밀번호 잊어 버린”서비스가 있습니다. 이메일 주소가 더 이상 유효하지 않거나 서비스가 컴퓨터 희망 서비스가 아닌 경우 잊혀진 비밀번호 서비스를 담당하는 회사에 문의하십시오.
비밀번호 재설정 기능은 계정을위한 것이며 다른 사람의 계정에 액세스하거나 다른 계정을 해킹하는 방법으로 사용하지 않아야합니다.
관련 정보
- 분실 또는 잊혀진 Windows 암호를 재설정하는 방법.
- Facebook 비밀번호를 잊어 버렸습니다.
- 컴퓨터 비밀번호에 대한 도움말 및 정보.
- 내 비밀번호를 기억하는 안전한 방법은 무엇입니까??
- 컴퓨터 희망 포럼 비밀번호 인증 알림.
- 컴퓨터 보안 지원 및 지원.
Active Directory 보안 블로그
난 네가 이걸 잘 찾을 수있을 거라고 믿어. 오늘 저는 미국의 거의 모든 공개 조직과 전 세계 대부분의 조직에 영향을 미치는 문제에 대해 몇 분 동안 빛을 비추고 싶었습니다.
몇 주 전, 또 다른 세계적으로 저명한 멀티 $ B 공개적으로 u.S 조직 라이센스 금 손가락 007.
Gold Finger 007’수많은 기능 (Active Directory Delegation 감사, Active Directory 유효 권한 분석, Active Directory 권한 분석, 도메인 전체 Kerberos 토큰 크기 계산 등.), 우리는 항상 고객이 금 손가락을 사용하는 것에 대해 배우고 싶습니다.
그래서 우리가 그들에게 금 손가락을 사용하려는 의도를 물었을 때, 그들은 우리에게 그들이 그것을 사용하기를 원한다고 알려주었습니다 “누가 할 수 있는지 감사합니다 변화 SOX 준수 감사원 이이 정보를 제공해야했기 때문에 Active Directory의 비밀번호.”
조금 놀랍습니다. 우리는 그들이 말하려고했다고 생각했습니다 “누가 할 수 있습니다 초기화 누구의 비밀번호” 그래서 우리는 감사원이 보고서를 제공 해야하는지 다시 물었습니다 “누가 누구의 암호를 변경할 수 있는지”, 또는 “누가 비밀번호를 재설정 할 수 있는지.”
그들은 감사인들이 알고 싶어한다는 것을 확인했습니다 “누가 할 수 있습니다 변화 누구의 비밀번호”.
우리에게 약간 걱정이되었습니다.
비밀번호 변경 및 비밀번호 재설정의 차이점
사람들, 차이 “비밀번호를 변경할 수 있습니다” 그리고 “비밀번호를 재설정 할 수있는 사람” 조직 보안에 대해 이해하는 것이 가장 중요하지만 크게 오해가 남아 있으므로 빛을 발산 할 가치가 있습니다 –
Active Directory 비밀번호 변경
Active Directory의 모든 도메인 사용자 계정은 비밀번호로 보호되며,이 비밀번호에 대한 지식은 계정 소지자가 자신을 인증 할 수 있으며, 사실상 해당 도메인 사용자 계정으로 표시되는 신원에 대한 스테이크 청구.
사용자 일 때’S 계정은 처음에 설정되어 있으며 임시 비밀번호 (보안 수단을 통해 이상적으로)가 제공된 다음 해당 비밀번호를 즉시 새 값으로 변경하도록 요청했습니다.이자형. 그/그녀만이 지식을 가지고있는 것.
계정 만’S 홀더는 계정을 알아야합니다’S 비밀번호. 계정을 아는 사람은 누구나 자신의 비밀번호를 알아야하지 않습니다’S 암호는 해당 비밀번호를 사용하여 해당 사용자로 시스템에 인증 할 수 있습니다.
이제 보안상의 이유로 대부분의 조직은 비밀번호 추측 공격으로부터 비밀번호를 보호 할 수 있도록 비밀번호를 주기적으로 변경해야하므로 시스템은 사용자가 암호를 변경할 수있는 시설을 제공합니다.
사용자는 보안 인증 시퀀스를 호출하여 암호를 변경할 수 있습니다 (“alt-ctrl-del”), 다음을 선택합니다 “비밀번호를 변경하십시오” 옵션. 그런 다음 사용자는 새 비밀번호와 현재 비밀번호를 모두 입력해야합니다.
(참고 : 창 비밀번호를 변경하십시오 대화 상자를 말합니다 현재의 비밀번호 오래된 비밀번호.))
입력 된 현재 암호가 유효한 경우 시스템은 비밀번호 변경 요청을 수락하고 사용자를 변경합니다’새 값에 대한 비밀번호. 입력 한 현재 암호가 유효하지 않은 경우 시스템은 비밀번호 변경 요청을 거부합니다.
이제 암호를 변경하려면 사용자가 현재 비밀번호 I를 입력해야한다는 점에 유의해야합니다.이자형. 현재 비밀번호에 대한 지식을 보여주지 않으면 비밀번호를 변경할 수 없습니다.
다시 말해, 사용자 만 자신의 계정에 대한 비밀번호를 알고 있다고 가정하면 다른 사람이 사용자를 변경할 수 없다고 추론 할 수 있습니다’S 비밀번호, 다른 사람이 사용자를 모르기 때문에’S 현재 비밀번호.
요약하면, 비밀번호를 변경할 수있는 사람을 감사 할 필요가 없습니다 (99 년에.9999%의 사례), 사용자 계정 소지자 만 계정의 현재 비밀번호를 알고 있으며 현재 사용자를 모르면’S 비밀번호, 아무도 사용자를 변경할 수 없습니다’S 비밀번호.
결과적으로, 저의 겸손한 견해로는 규제 준수 감사인이 조직에 감사를 요청해서는 안됩니다 “누가 누구의 암호를 변경할 수 있는지” 그렇게하는 데 중요한 이점이 없기 때문에.
Active Directory 비밀번호 재설정
이제 자신에게 묻는 경우 – “그러나 잠깐만, 사용자가 비밀번호를 잊어 버린 상황은 어떻습니까? 헬프 데스크에 전화를 걸어 도움을 요청했습니다. 그 결과 헬프 데스크 운영자가 사용자를 재설정합니다’s 비밀번호, 그리고 사용자에게 로그인 할 수있는 임시 비밀번호를 부여한 다음 로그인 한 직후에 비밀번호를 사용자에게만 알려진 값으로 변경합니다.”
대답은 헬프 데스크 운영자가 사용자를 변경하지 않았다는 것입니다’S 비밀번호이지만 실제로 사용자를 재설정합니다’S 새 임시 암호로의 S 비밀번호 와이 임시 비밀번호가 사용자에게 (보안 채널을 통해 희망적으로) 제공 한 다음 (희망적으로) 자신의 비밀번호를 즉시 사용자에게만 알려진 값으로 변경하도록 지시했습니다.
사용자가 비밀번호를 잊어 버리고 로그인 할 수없는 상황을 설명하기 위해 시스템은 공인 관리자가 사용자의 비밀번호를 재설정 할 수있는 시설을 제공합니다’S 계정.
이 비밀번호 재설정 시설은 직원 종료, 보안 사고 등과 같은 사용자 계정을 인수 해야하는 상황에서 도메인 사용자 계정을 제어하는 데 사용될 수 있습니다.
사용자를 재설정하는 것이 언급 될 수 있습니다’S 비밀번호는 사용자에 대한 지식을 보여줄 필요가 없습니다’기존/현재 비밀번호. 대신, 비밀번호 재설정을 수행하는 개인은 “사용자 힘 암호를 변경합니다” 도메인 사용자 계정에 대한 연장 권한이 부여되었습니다. 도메인 사용자 계정 에이 권리가 부여 된 사람은 도메인 사용자 계정을 즉시 재설정 할 수 있습니다’S 비밀번호.
(엄격하게 말하면, 사용자를 변경하기 위해’s 비밀번호, 사용자도 필요합니다 “사용자 변경 비밀번호” 자신의 계정으로 확장되며 기본적으로 부여됩니다 “모든 사람” 그리고 “모든 사람” 암시 적으로 사용자가 포함됩니다. 그건 그렇고, 권리가 부여되기 때문에 “모든 사람” 모든 사람 (/누군가)이 사용자를 변경할 수 있다는 의미는 아닙니다’S 비밀번호; 현재 암호에 대한 지식을 보여줄 수있는 개인만이 사용자를 변경할 수 있습니다’S 계정’S 비밀번호.))
(BTW, 권리 안내 사용자 포스-체인지-파스 워드 IS 00299570-246D-11D0-A768-00AA006E0529 및 권리 가이드에 대한 사용자 선택-통신 IS AB721A53-1E2F-11D0-9819-00AA0040529B입니다.))
이제 기본적으로 도메인 관리자, 엔터프라이즈 관리자, 내장 관리자, 계정 운영자 및 기타를 포함한 많은 Active Directory 관리 그룹이 “사용자 힘 암호를 변경합니다” (또한 ~으로 알려진 “암호를 재설정”) 모든 도메인 사용자 계정에 대한 확장됨에 따라 많은 관리인이 기본적으로 이루어지며 이미 대부분의 도메인 사용자 계정의 비밀번호를 재설정 할 수 있습니다. 또한 많은 조직이 사용자 정의 대표 모델을 개발하고 구현하여 더 많은 수의 개인이 대부분의 도메인 사용자 계정의 비밀번호를 재설정 할 수 있습니다.
누구나 “사용자 힘 암호를 변경합니다” (나.이자형. “암호를 재설정”) 도메인 사용자 계정에 효과적으로 부여 된 확장 된 권리는 해당 계정을 즉시 재설정 할 수 있습니다’S 비밀번호 및 로그인.
물론 누군가가 도메인 사용자 계정을 재설정 할 수 있으면’S 비밀번호, 그/그녀는 즉시 로그인 할 수 있고, 사용자가 액세스 할 수있는 모든 것에 액세스하고, 이메일, 액세스, 변조, 복사 또는 공개 할 수 있습니다.
결과적으로 Active Directory의 비밀번호를 누가 재설정 할 수 있는지 항상 아는 것이 가장 중요합니다.
결과적으로 조직에 감사를 요청하는 대신 “누가 누구의 암호를 변경할 수 있는지” 규정 준수 감사관은 감사를 요청해야합니다 “누가 비밀번호를 재설정 할 수 있는지”, 누군가를 재설정 할 수있는 능력 이후’S 암호는 즉시 가해자 로그온을 대상 사용자로서 즉시, 사용자가 액세스 할 수있는 모든 것에 액세스 할 수 있습니다.
악의적 인 개인이 사용자를 재설정 할 수도 있습니다’S 비밀번호, 그런 다음 사용자로 로그온, 무단 액세스에 참여한 다음 로그인하고, 실제 사용자 계정이 다음 시간에 로그인을 시도 할 때, 이전 비밀번호를 사용하여 몇 번의 로그온을 시도한 후에는 의심 할 여지없이 헬프 데스크를 호출 할 수 있으며, 대부분의 경우 헬프 데스크 운영자는 누군가가 사용자에게 재설정 할 수 있다고 의심하지 않으면’S 비밀번호 및 로그온.
가해자의 (Mal-) 의도 및 전문 지식에 따라 관리 계정 또는 임원 계정의 비밀번호를 재설정 할 수있는 사람의 결과를 상상할 수 있습니다.
그래서, 내가 할 수 있다면, i’d이 중요한 차이를 이해하기 위해 준수 감사원을 겸손하게 요청하고, 다음에 아마도 보고서를 요청하십시오 “사용자 계정 비밀번호를 재설정 할 수있는 사람”, ~ 아니다 “사용자 계정 암호를 변경할 수있는 사람”.
마지막으로,이 정보를 요청할 때, 제공되는 감사 보고서가 단순히 권한 분석이 아니라 효과적인 권한 분석에 기반을 두는 것이 필수적입니다. 효과적인 권한 만 누가 비밀번호를 재설정 할 수 있는지 알 수 있기 때문입니다.
이는 전 세계 조직의 85%에 영향을 미칩니다
아시다시피, 오늘날의 Active Directory는 전 세계 조직의 85% 이상의 사이버 보안 기반입니다.
우리의 글로벌 인텔리전스는 이러한 조직의 대부분에서 아무도 누가 비밀번호를 재설정 할 수 있는지, 심지어 고 부가가치 대상의 비밀번호에 대한 사람은 아무도 없다는 것을 나타냅니다.이자형. 임원 및 행정 계정.
불행히도 이것은 매우 경고하는 상황입니다.
예를 들어, 잠시 후, Multi-$ B International Company의 직원이 재판을 요청하고 미국의 환경에서 Gold Finger Mini를 실행했습니다. 약 2 분 만에 그는 전 세계 700 명 이상의 개인이 해당 조직의 비밀번호를 재설정 할 수있는 충분한 효과적인 권리를 가지고 있음을 알 수있었습니다’S CEO’S 도메인 사용자 계정. 우리에게 충격적인 것은 CEO 나이 700 명 이상의 개인의 대부분이 CEO의 비밀번호를 재설정 할 수있는 충분한 권리가 있다는 것을 알지 못했다는 것입니다.
또한이 조직은 Active Directory 배포 관리를 다른 Multi-$ B International Company에 아웃소싱했으며 700 명 이상의 사용자 목록에 매우 저명한 개인이 있다는 사실을 알게되었을 때 (일부는 개인적으로 아시아와 아시아에 있습니다.))
보안상의 이유로,이 두 회사는 모두 이름이 없어야합니다. (넌 네가 누구인지 안다.))
포장
몇 주 전에 우리는 고객 에게이 미묘하지만 중요한 차이점에 대해 알 렸으며, 오늘 그들이 감사를 수행하고 있음을 알려 드리게되어 기쁩니다. “누가 비밀번호를 재설정 할 수 있는지” 대신에.
요약하면, 누가 누구의 비밀번호를 재설정 할 수 있는지 정확히 알기가 매우 중요합니다. 최소한 모든 조직은 최소한 모든 관리/권한있는 계정의 비밀번호를 재설정 할 수있는 사람을 알아야합니다 (CEO, CIO, CFO 및 CISO)는 오늘날 세계 최고 사이버 보안 위험의 중심에있는 비밀번호를 재설정 할 수 있기 때문입니다.
글쎄, 내 10 분이 올라 갔다. (다음에 더.))
최고의 소원,
산 제이
