Resetowanie hasła vs. Zmiana hasła

Streszczenie

W tym artykule omówimy różnicę między zresetowaniem hasła a zmianą hasła. Zresetowanie hasła jest działaniem administracyjnym, które może być wykonane przez administratora lub osoby z odpowiednim uprawnieniem, podczas gdy zmiana hasła jest działaniem użytkownika, które wymaga od użytkownika znania jego bieżącego hasła. Zbadamy również uprawnienia i rejestrowanie zdarzeń związane z tymi działaniami w systemie Windows.

Kluczowe punkty

  1. Zresetowanie hasła jest działaniem administracyjnym, podczas gdy zmiana hasła jest działaniem użytkownika.
  2. W przypadku zmiany hasła użytkownik musi znać swoje bieżące hasło, ale w przypadku resetowania hasła stare hasło nie jest wymagane.
  3. Użytkownik potrzebuje uprawnień „Zmień hasło”, aby zmienić hasło, podczas gdy osoba z uprawnieniem „Resetuj hasło” może zresetować czyjeś hasło.
  4. Zmiany haseł są zwykle wykonywane za pośrednictwem panelu sterowania rachunkami użytkownika lub okna dialogowego logowania w systemie Windows.
  5. Resetowanie haseł można wykonywać za pośrednictwem narzędzi zarządzania kontami, takimi jak użytkownicy i komputery Active Directory.
  6. W wersjach Windows Server 2003 i późniejszych identyfikatory zdarzeń są rejestrowane w celu zmiany hasła i zdarzeń resetowania hasła.
  7. Zezwolenie „Resetuj hasło” jest używane, gdy administrator lub osoba wsparcia obsługuje zapomniane hasło użytkownika.
  8. W Active Directory uprawnienie „Zmień hasło” wymaga znajomości bieżącego hasła konta, podczas gdy pozwolenie „Resetuj hasło” nie.
  9. Domyślnie użytkownicy mogą zmienić własne hasła, ale tylko administratorzy i operatorzy konta mogą zresetować hasła.

Pytania i odpowiedzi

P: W jaki sposób Active Directory (AD) Resetuj Zezwolenie na hasło inaczej niż Zmiana hasła? W jaki sposób dziennik systemu Windows resetuje hasło i zmienia zdarzenia hasła w przeglądarce zdarzeń?

A: Chociaż zresetowanie hasła i zmiana hasła mają ten sam efekt, są to dwa zupełnie różne działania. Zmiana hasła to działanie użytkownika, które wymaga od użytkownika znania jego bieżącego hasła i posiadania uprawnień „Zmień hasło”. Z drugiej strony resetowanie hasła jest działaniem administracyjnym, które może wykonać osoba z uprawnieniem „Resetuj hasło” i nie wymaga znajomości starego hasła. W przeglądarce zdarzeń Windows zdarzenia zmiany hasła są rejestrowane z identyfikatorem zdarzeń 627, a zdarzenia resetowania hasła są rejestrowane z identyfikatorem zdarzeń 628, począwszy od systemu Windows Server 2003. W systemie Windows 2000 zarówno zmiana hasła, jak i resetowanie hasła zostały zarejestrowane za pomocą identyfikatora zdarzenia 627.

P: Jaka jest różnica między hasłem resetowania i uprawnień dotyczących hasła do obiektów użytkownika w Active Directory (AD)?

A: Zezwolenie „Zmień hasło” wymaga znajomości bieżącego hasła konta i pozwala osobie zmienić własne hasło. Z drugiej strony uprawnienie „Resetuj hasło” jest używane, gdy administrator lub osoba wsparcia obsługuje zapomniane hasło użytkownika. Nie wymaga wiedzy na temat aktualnego hasła konta. Domyślnie użytkownicy mogą zmienić własne hasła, podczas gdy tylko administratorzy i operatorzy konta mogą zresetować hasła w Active Directory.

P: Jak można zróżnicować resetowanie hasła od zmiany hasła w praktyce?

A: Resetowanie hasła może zostać zainicjowane przez administratora lub osobę o odpowiedniej zgody. Nie wymaga to od użytkownika znania jego bieżącego hasła. W przeciwieństwie do tego użytkownik wykonuje zmianę hasła i wymaga, aby wprowadzić swoje bieżące hasło przed ustawieniem nowego. Proces resetowania hasła zwykle obejmuje generowanie unikalnego łącza lub kodu resetowania hasła, podczas gdy zmiana hasła jest zwykle wykonywana za pośrednictwem interfejsu użytkownika, takiego jak panel sterowania rachunkami użytkownika lub okno dialogowe logowania.

P: Czy bezpieczniejsze jest posiadanie osobnych stron do resetowania hasła i funkcji zmiany hasła?

A: Tak, ogólnie uważa się, że bezpieczniejsze jest posiadanie osobnych stron do resetowania hasła i funkcji zmiany hasła. Linki lub kody resetowania hasła są często wysyłane na adres e -mail użytkownika, a posiadanie dedykowanej strony dla procesu resetowania zapewnia, że ​​użytkownik może bezpiecznie ustawić nowe hasło bez ryzyka, że ​​jego stare hasło zostanie naruszone. Z drugiej strony strona zmiany hasła powinna być dostępna tylko wtedy, gdy użytkownik jest już zalogowany i może podać swoje bieżące hasło, aby zapewnić zabezpieczenie ich konta.

P: Czy próby resetowania hasła można zarejestrować i monitorować?

A: Tak, próby resetowania hasła można zarejestrować i monitorować. Wykorzystując mechanizmy rejestrowania zdarzeń i kontroli w systemie Windows, administratorzy mogą śledzić zdarzenia resetowania hasła i identyfikować wszelkie podejrzane lub nieautoryzowane działania. Ponadto dzienniki mogą dostarczyć cennych informacji do analizy kryminalistycznej w przypadku incydentów bezpieczeństwa lub naruszeń związanych z resetami haseł.

P: Czy istnieją jakieś względy bezpieczeństwa, o których należy pamiętać przy wdrażaniu resetowania hasła i zmiany funkcji?

A: Tak, należy pamiętać o kilku rozważeniu bezpieczeństwa przy wdrażaniu resetowania hasła i zmiany funkcji. Obejmują one:

  1. Korzystanie z bezpiecznych mechanizmów wysyłania linków lub kodów resetowania hasła, takie jak szyfrowane wiadomości e -mail lub bezpieczne systemy przesyłania wiadomości.
  2. Stosowanie silnych zasad haseł, aby upewnić się, że użytkownicy tworzą silne i unikalne hasła.
  3. Wdrażanie mechanizmów zapobiegania brutalnej sile lub zautomatyzowanej ataki na resetowanie i zmianę funkcji.
  4. Regularne przeglądanie i aktualizowanie uprawnień i kontroli dostępu związanych z resetowaniem hasła i zmień funkcje, aby zapobiec nieautoryzowanemu dostępowi.
  5. Okresowe przegląd dzienników i monitorowanie wszelkich podejrzanych działań lub wzorców związanych z resetami haseł i zmian.
  6. Zapewnienie, że funkcje resetowania hasła i zmiany zostaną poprawnie przetestowane i przeglądane pod kątem potencjalnych podatności lub słabości.

P: Czy metody używane do resetowania hasła i zmiany hasła będą dostosowane lub rozszerzone?

A: Tak, metody stosowane do resetowania hasła i zmiany hasła można dostosować i rozszerzyć na podstawie określonych wymagań aplikacji lub systemu. Organizacje mogą zdecydować się na wdrożenie dodatkowych środków bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe, aby zwiększyć bezpieczeństwo resetowania hasła i zmiany funkcjonalności. Ponadto organizacje mogą zintegrować resetowanie hasła i zmienić funkcje z innymi systemami lub usługami zarządzania tożsamością i dostępem, aby zapewnić bezproblemową obsługę i zapewnić spójne praktyki bezpieczeństwa w wielu aplikacjach.

P: Jakie są potencjalne konsekwencje nieautoryzowanych hasła resetu lub zmian?

A: Nieautoryzowane resetowanie hasła lub zmiany mogą mieć poważne konsekwencje, szczególnie jeśli są one wykonywane na rachunkach administracyjnych lub wykonawczych. Nieautoryzowana osoba, która uzyska dostęp do konta administracyjnego za pośrednictwem resetowania hasła lub zmiany, może potencjalnie spowodować znaczne szkody, takie jak nieautoryzowany dostęp do poufnych informacji, nieautoryzowane zmiany w konfiguracji systemu, a nawet kompromis kompromisowy system. Dlatego kluczowe jest wdrożenie silnych środków bezpieczeństwa i ściśle monitorowanie resetowania hasła i zmiany działań, aby zapobiec nieautoryzowanemu dostępowi.

Resetowanie hasła vs. Zmiana hasła

Możesz sobie wyobrazić konsekwencje, że ktoś jest w stanie zresetować hasło konta administracyjnego lub konta wykonawczego-w zależności od (mal-) intencji i wiedzy sprawcy, konsekwencje mogą być katastrofalne.

Zmień hasło vs reset hasło [zamknięte]

Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było odpowiedzieć na fakty i cytaty, edytując ten post.

Zamknięty 9 lat temu .

Mam stronę, na której użytkownik może poprosić o link do resetowania hasła, jeśli zapomniał hasła do swojego konta. Chcę również stworzyć sposób, aby użytkownik zmienił hasło, jeśli jest już zalogowany na swoje konto. Czy lepiej byłoby tworzyć oddzielne strony dla każdego rodzaju różnych rodzajów resetowania haseł, czy też powinienem po prostu zmienić formularz na podstawie tego, czy użytkownik jest zalogowany, czy nie? Czy to naprawdę ma znaczenie? Czy istnieje ogólny standard?

zapytał 24 października 2013 o 2:42

Shane a. Darr Shane a. Darr

521 6 6 Srebrne odznaki 16 16 brązowe odznaki

Ten temat lepiej nadaje się do UX.Stackexchange.com.

24 października 2013 o 2:58

Nie zgadzam się, ponieważ zamiar mojego pytania nie był bardziej przyjazny dla użytkownika, ale to, co jest bardziej standardową praktyką z punktu widzenia rozwoju. Moim zamiarem jest trzymanie się ogólnie przyjętych standardów programowania i sprawienie, by wszystko było jak najbezpieczniejsze. Rozumiem, dlaczego to pytanie może być postrzegane jako pytanie UX i powinienem był bardziej widoczny. Dzięki

26 października 2013 o 5:22

1 Odpowiedź 1

Utwórz osobne strony. Zresetuj linki (gdy użytkownicy nie są zalogowani) zwykle użyj unikalnej wartości GET. Gdy użytkownik poprosi o wysłanie linku, wartość jest wstawiana do bazy danych. Gdy osoba odwiedzi stronę resetowania, serwer sprawdzi wartość GET wprowadzoną do adresu URL. Jeśli wartość GET pasuje do unikalnej wartości w bazie danych, wówczas osoba ma możliwość umieszczenia nowego hasła. Unikalne wartości w bazach danych są zwykle ustawione tak szybko. To uniemożliwia ludziom użycie brutalnej siły do ​​zresetowania czyjegoś hasła.

Nie chcesz mieszać powyższego z prostą zmianą hasła, która jest inicjowana, gdy użytkownik jest zalogowany.

odpowiedział 24 października 2013 o 2:50

Lloyd Banks Lloyd Banks

35.4K 57 57 Złote odznaki 155 155 srebrnych odznak 246 246 Brązowe odznaki

Dzięki za wkład. Zresetowanie hasła dla zapomnianego procesu hasła, który zauważyłeś powyżej, jest dokładnie tym, jak sprawię, że to działa. Cieszę się, że robię to poprawnie. Myślę, że może po prostu utworzę stronę z informacjami o koncie aktualizacji, w której użytkownik może zmienić informacje, w tym hasło w razie potrzeby.

24 października 2013 o 2:53

Zmiana hasła i resetowanie hasła to dwie bardzo różne rzeczy. Zresetowanie hasła można wykonać, gdy użytkownik nie jest zalogowany. Zmiana hasła następuje tylko wtedy, gdy użytkownik jest zalogowany i zna jego bieżące hasło.

Resetowanie hasła vs. Zmiana hasła

P: W jaki sposób Active Directory (AD) Resetuj Zezwolenie na hasło inaczej niż Zmiana hasła? W jaki sposób dziennik systemu Windows resetuje hasło i zmienia zdarzenia hasła w przeglądarce zdarzeń?

A: Chociaż zresetowanie hasła i zmiana hasła mają ten sam efekt, są to dwa zupełnie różne działania.

Zmiana hasła to działanie użytkownika, w którym użytkownik wprowadza nowe hasło dla swojego konta użytkownika systemu Windows. Windows uwierzytelnia użytkownika, zanim będzie mógł zmienić hasło. Oznacza to, że użytkownik musi zawsze najpierw wprowadzić swoje stare hasło, zanim pozwolono mu go zmienić. Użytkownik musi również mieć zgodę zmiany hasła na swoim obiekcie konta domeny reklamowej, aby mogła zmienić hasło. Użytkownik może zmienić hasło z apletu panelu sterowania kontami użytkownika lub z opcji Zmień hasło w oknie dialogowym logowania, które pojawia się po naciśnięciu CTRL+Alt+Del.

Resetowanie hasła jest działaniem administracyjnym, w którym administrator Windows (lub konto Windows, które ma zgodność z resetem hasła na obiekcie konta użytkownika) resetuje hasło użytkownika. W przeciwieństwie do zmiany hasła resetowanie hasła nie wymaga znajomości starego hasła. Każde konto, które ma uprawnienia do hasła resetowania w obiekcie konta użytkownika Domena AD może wykonać resetowanie hasła. Resetowanie haseł można uruchomić z jednego z narzędzi zarządzania kontami reklamowymi, takimi jak Użytkownicy Active Directory Microsoft Management Console (MMC) Snap-in lub Centrum Administracyjne Active Directory lub Active Directory.

Począwszy od systemu Windows Server 2003, Windows rejestruje różne identyfikatory zdarzeń dla zmiany hasła i zdarzeń resetowania hasła. Zaloguje identyfikator zdarzenia 627 dla zdarzenia zmiany hasła i identyfikator zdarzenia 628 dla zdarzenia resetowania hasła. Windows 2000 Zalogowany identyfikator zdarzenia 627 dla zdarzeń zmiany hasła i resetowania hasła.

Rozróżnienie między hasłem resetowania i hasła do zmiany

Jaka jest różnica między Zresetuj hasło I Zmień hasło uprawnienia do obiektów użytkownika w Active Directory (AD)?

Zmień hasło Zezwolenie wymaga, aby osoba, która zmienia hasło, znała bieżące hasło konta. Gdy administrator lub osoba pomocnicza obsługuje zapomniane hasło użytkownika, administrator lub osoba pomocnicza używa Zresetuj hasło Zezwolenie, które nie wymaga znajomości bieżącego hasła konta. Dzięki domyślnym uprawnieniu AD możesz zmienić własne hasło, ale tylko administratorzy i operatorzy kont mogą zresetować hasła.

Zresetuj hasło

Nadzieja komputerowa

Zresetuj hasło to działanie unieważnienia bieżącego hasła do konta na stronie internetowej, usłudze lub urządzeniu, a następnie utworzenie nowego. Hasło może zostać zresetowane przy użyciu ustawień oprogramowania lub usługi lub kontaktując się z działem obsługi klienta.

Jeśli potrzebujesz resetowania hasła, większość usług ma usługę „zapomnianą hasło”, która wysyła e-mailem link, gdy poprosisz o zresetowanie hasła na stronie internetowej. Jeśli Twój adres e-mail nie jest już ważny lub usługa nie jest usługą komputerową, skontaktuj się z firmą odpowiedzialną za usługę zapomnianego hasła.

Funkcja resetowania hasła dotyczy Twojego konta i nie jest używana jako metoda dostępu do czyjegoś konta lub hakowania innego konta.

Powiązana informacja

  • Jak zresetować utracone lub zapomniane hasło do systemu Windows.
  • Zapomniałem mojego hasła na Facebooku.
  • Pomoc i informacje na temat haseł komputerowych.
  • Jaki jest bezpieczny sposób na zapamiętanie moich haseł?
  • Komputerowe Forum Fora Przypomnienie Uwierzytelnianie hasła.
  • Pomoc i wsparcie bezpieczeństwa komputera.

Blog bezpieczeństwa Active Directory

Mam nadzieję, że to cię dobrze znajdzie. Dzisiaj chciałem poświęcić kilka minut, aby rzucić światło na sprawę, która wpływa na praktycznie każdą publiczną organizację w Stanach Zjednoczonych, a być może większość organizacji na całym świecie.

Kilka tygodni temu, kolejny globalnie znany wieloosobowy publicznie U.Organizacja licencjonowana złoty palec 007.

Biorąc pod uwagę złoty palec 007’S Liczne możliwości (audyt delegacji Active Directory, Active Directory Skuteczne Analiza uprawnień, Analiza uprawnień Active Directory, Obliczenie tokenu tokenu Kerberos w domenie itp.), zawsze lubimy dowiedzieć się, do czego nasi klienci używają złotego palca.

Więc kiedy zapytaliśmy ich, do czego zamierzają użyć złotego palca, poinformowali nas, że chcą go użyć “audyt, który może zmiana którego hasła w Active Directory, ponieważ ich audytorzy zgodności z Sox wymagali, aby dostarczyć te informacje.”

To było trochę zaskakujące. Doszliśmy do wniosku, że zamierzają powiedzieć “kto może Resetowanie których hasła” Więc poprosiliśmy ich ponownie, czy audytorzy wymagali od nich, aby dostarczyć raport “kto może zmienić, czyje hasła”, Lub “kto może zresetować, czyje hasła.”

Potwierdzili, że audytorzy chcą wiedzieć “kto może zmiana których hasła”.

To dla nas było trochę niepokojące.

Różnica między hasłem zmiany a zresetowaniem hasła

Ludzie, różnica między “Kto może zmienić hasła” I “kto może zresetować hasła” ma zasadnicze znaczenie dla zrozumienia bezpieczeństwa organizacyjnego, ale pozostaje ono w dużej mierze niezrozumiane, a zatem warto rzucić światło –

Zmiany hasła Active Directory

Każde konto użytkownika domeny w Active Directory jest chronione hasłem i jest to wiedza o tym hasła.

Kiedy użytkownik’Konto S jest początkowo skonfigurowane, otrzymuje on tymczasowe hasło (najlepiej za pomocą bezpiecznych środków), a następnie poproszony o natychmiastową zmianę tego hasła na nową wartość, i.mi. taki, o którym tylko on/ona ma wiedzę.

Tylko konto’posiadacz S ma znać konto’s hasło. Nikt inny nie powinien znać swojego hasła, ponieważ każdy, kto zna konto’S hasło może uwierzytelnić się w systemie jako użytkownik za pomocą tego hasła.

Teraz, ze względów bezpieczeństwa, większość organizacji wymaga od użytkowników okresowych zmiany haseł, aby chronić hasła przed zgadywaniem haseł, a jako taki system zapewnia możliwość umożliwienia użytkownikom zmiany haseł.

Użytkownik może zmienić swoje hasło, wywołując sekwencję uwierzytelniania bezpieczeństwa (“Alt-Ctrl-del”), a następnie wybór “Zmień hasło” opcja. Użytkownik jest następnie zobowiązany do wprowadzenia nowego hasła, jak i bieżącego hasła.

(Uwaga: Windows Zmień hasło Okno dialogowe odnosi się do aktualny hasło jako stary hasło.)

Jeśli wprowadzone hasło jest prawidłowe, system akceptuje żądanie zmiany hasła i przechodzi do zmiany użytkownika’s hasło do nowej wartości. Jeśli wprowadzone hasło jest nieprawidłowe, system odmawia żądania zmiany hasła.

Teraz bardzo ważne jest, aby zauważyć, że aby zmienić hasło, użytkownik jest zobowiązany do wprowadzenia bieżącego hasła I.mi. Nie pokazując wiedzy o bieżącym hasłach, nie może zmienić hasła.

Innymi słowy, jeśli ktoś zakłada, że ​​tylko użytkownik zna hasło do swojego konta, wówczas można wnioskować, że nikt inny nie może zmienić użytkownika’s hasło, ponieważ nikt inny nie zna użytkownika’s Obecne hasło.

Podsumowując, nie ma potrzeby audytu, kto może zmienić, których hasła, ponieważ (w 99.9999% przypadków), tylko posiadacz konta użytkownika zna bieżące hasło konta i nie znając bieżącego użytkownika’s hasło, nikt nie może zmienić użytkownika’s hasło.

W związku z tym, moim skromnym zdaniem, audytorzy zgodności z przepisami nie powinni prosić organizacji o audyt “kto może zmienić, czyje hasła” Tylko dlatego, że nie ma w tym żadnej istotnej korzyści.

Active Directory Resete

Teraz, na wypadek, gdybyś pytał – “Ale poczekaj, co z sytuacją, w której użytkownik zapomina o swoim hasła’S Hasło i zapewnia użytkownik tymczasowe hasło, z którymi może następnie zalogować się i natychmiast po zalogowaniu, zmień swoje hasło na wartość znaną tylko użytkownikowi.”

Odpowiedź jest taka, że ​​operator pomocy technicznej nie zmienił użytkownika’s hasło, ale w rzeczywistości zresetuj użytkownika’S Hasło do nowego tymczasowego hasła, a następnie przekazał użytkownikowi to tymczasowe hasło (miejmy nadzieję za pośrednictwem bezpiecznego kanału) i (miejmy nadzieję) poinstruował go, aby natychmiast zmienił swoje hasło na wartość znaną tylko użytkownikowi.

Widzisz, aby uwzględnić sytuacje, w których użytkownik zapomina swoje hasło, a zatem nie jest w stanie zalogować’konto.

Ten obiekt resetowania hasła można również użyć do przejęcia kontroli nad konto użytkownika domeny w sytuacjach, w których musi przejąć konto użytkownika, takie jak te obejmujące rozwiązanie pracowników, incydenty bezpieczeństwa itp.

Można zauważyć, że zresetowanie użytkownika’S Hasło nie wymaga wykazania wiedzy użytkownika’s istniejące/bieżące hasło. Zamiast tego wymaga tylko, aby osoby wykonujące reset hasła miały “Siła użytkownika Hasło Zmień” rozszerzone prawo przyznane na koncie użytkownika domeny. Każdy, kto ma to prawo przyznane na koncie użytkownika domeny, może natychmiast zresetować konto użytkownika domeny’s hasło.

(Ściśle mówiąc, aby zmienić użytkownika’s hasło, również użytkownik wymaga “Zmień hasło użytkownika” rozszerzony w prawo na własnym koncie, które domyślnie jest przyznawane “Wszyscy” I “Wszyscy” domyślnie obejmuje sam użytkownika. Nawiasem mówiąc, tylko dlatego, że prawo jest przyznawane “Wszyscy” nie oznacza, że ​​wszyscy (/ktokolwiek) mogą zmienić użytkownika’hasło; Tylko osoby, które mogą wykazać wiedzę na temat bieżącego hasła, mogą zmienić użytkownika’konto’s hasło.)

(Przy okazji, wskazówki dotyczące praw Słowo obserwujące zorganizowanie-przesunięcia IS 00299570-246D-11D0-A768-00AA006E0529 i Guids Prawa dla SWOROWANIE PASA-ZAMANIE to AB721A53-1E2F-11D0-9819-00AA0040529B.)

Teraz, domyślnie wiele grup administracyjnych Active Directory, w tym administratorów domeny, administratorów przedsiębiorstw, wbudowanych administratorów, operatorów konta i innych, otrzymują “Siła użytkownika Hasło Zmień” (znany również jako “Zresetuj hasło”) Rozszerzone w prawo na wszystkich kontach użytkowników domeny, a zatem wielu personelu administracyjnego jest domyślnie, ma już możliwość zresetowania haseł większości kont użytkowników domeny. Ponadto wiele organizacji opracowuje i wdraża niestandardowe modele delegacji, co spowodowało, że jeszcze większa liczba osób jest w stanie zresetować hasła większości kont użytkowników domeny.

Konieczne jest zrozumienie, że każdy, kto ma “Siła użytkownika Hasło Zmień” (I.mi. “Zresetuj hasło”) Rozszerzone prawo skutecznie udzielone na koncie użytkownika domeny może natychmiast zresetować to konto’s hasło i zalogowanie się jako.

Oczywiście, gdy ktoś może zresetować konto użytkownika domeny’S Hasło, on/ona może natychmiast zalogować się jako niego, uzyskać dostęp do wszystkiego, do czego użytkownik ma dostęp, odczytać i wysyłać e -maile, dostęp, manipulacje, skopiowanie lub ujawnienie wszystkiego, do czego użytkownik ma dostęp.

W rezultacie najważniejsze jest, aby wiedzieć przez cały czas, dokładnie kto może zresetować, których hasła w Active Directory.

W konsekwencji, zamiast prosić organizacje o audyt “kto może zmienić, czyje hasła” Audytorzy zgodności z przepisami powinni prosić ich o audyt “kto może zresetować, czyje hasła”, Ponieważ zdolność do zresetowania kogoś’S hasło natychmiast umożliwia logowanie sprawcy jako użytkownika docelowego i dostęp do wszystkiego, do czego użytkownik ma dostęp.

Może również zresetować złośliwą osobę’S Hasło, a następnie zaloguj się jako użytkownik, angażuj się w nieautoryzowany dostęp, a następnie wyloguj się, a gdy faktyczne konto użytkownika próbuje zalogować się następnym razem, po kilku nieudanych próbach zalogowania się za pomocą starego hasła, użytkownik nie byłby wyraźnie zadzwonił do biurka pomocy, aw większości przypadków operator pomocy technicznej’s hasło i zalogowane.

Możesz sobie wyobrazić konsekwencje, że ktoś jest w stanie zresetować hasło konta administracyjnego lub konta wykonawczego-w zależności od (mal-) intencji i wiedzy sprawcy, konsekwencje mogą być katastrofalne.

Więc jeśli mogę, ja’chciałbym pokornie poprosić audytorów zgodności o zrozumienie tej istotnej różnicy, a być może następnym razem poproś o raport “kto może zresetować hasła do konta użytkownika”, nie “kto może zmienić hasła do konta użytkownika”.

Wreszcie, żądając tych informacji, konieczne jest upewnienie się, że dostarczany raport z audytu opiera się nie na samej analizie uprawnień, ale na analizie skutecznej uprawnień, ponieważ tylko skuteczne uprawnienia ujawniają, kto może naprawdę zresetować, których hasła.

Wpływa to na 85% organizacji na całym świecie

Jak zapewne wiesz, Dzisiaj Active Directory to podstawa bezpieczeństwa cybernetycznego na ponad 85% organizacji na całym świecie.

Nasza globalna inteligencja wskazuje, że w większości tych organizacji nikt nie ma pojęcia, kto może zresetować, których hasła, nawet o celach o wysokiej wartości I.mi. Rachunki wykonawcze i administracyjne.

To niestety bardzo niepokojąca i niepokojąca sytuacja.

Na przykład jakiś czas temu pracownik międzynarodowej firmy z wieloma B, poprosił o proces i uruchomił Gold Finger Mini w swoim środowisku tutaj w Stanach Zjednoczonych. Po około 2 minutach był w stanie dowiedzieć się, że ponad 700 osób na świecie ma wystarczające skuteczne prawa, aby móc zresetować hasło tej organizacji’S CEO’S konto użytkownika domeny. To, co było dla nas szokujące, to to, że ani dyrektor generalny, ani większość z tych 700 osób nie wiedziało, że mają wystarczające prawa, aby móc zresetować hasło CEO.

Nawiasem mówiąc, organizacja ta zleciła zarządzanie wdrożeniem w Active Directory w innej międzynarodowej firmie wielofunkcyjnej i wyobraź sobie moją zaskoczenie, gdy dowiedzieliśmy się, że na tej liście użytkowników było bardzo wybitnych osób, z których niektóre znam osobiście (; większość jest w Europie, a inne w Azji.)

Ze względów bezpieczeństwa obie te firmy pozostaną bezimienne. (Wiesz kim jesteś.)

Owinięcie tego

Kilka tygodni temu poinformowaliśmy naszego klienta o tej subtelnej, ale ważnej różnicy i z przyjemnością informuję, że dzisiaj przeprowadzają audyt ”kto może zresetować, czyje hasła” Zamiast.

Podsumowując, bardzo ważne jest, aby wiedzieć (zawsze), kto może zresetować, czyje hasła. Przynajmniej wszystkie organizacje powinny wiedzieć, kto może zresetować hasła wszystkich swoich kont administracyjnych/uprzywilejowanych i ich kont kadystycznych (CEO, CIO, CFO i CISO), ponieważ jest to możliwość resetowania haseł, które są dziś najlepiej najwyższego ryzyka bezpieczeństwa cybernetycznego na świecie dzisiaj.

Cóż, moje 10 minut się skończyło. (Więcej następnym razem.)

Wszystkiego najlepszego,
Sanjay