AD Starter Scan - 非过期帐户密码

medium Nessus 插件 ID 150483

语言：

简介

密码永不过期的帐户

描述

Active Directory 帐户可配置为避开全局密码更新策略。如此设置的帐户可无限使用，无需更改密码。用户和管理员帐户不得设置此属性。

默认情况下，此检查会跳过已禁用的帐户。若要同时检查已禁用的帐户，请启用全面测试。

注意：此插件是 Active Directory Starter Scan 模板的一部分，用于对 AD 主机进行初步分析。如需进一步了解 Active Directory Starter Scan 插件发现的问题，请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

密码过期策略可限制攻击者在密码更改之前猜出或破解该密码的风险。所有用户帐户和管理员帐户都必须遵守此策略，无一例外。

服务帐户可能更难以处理：如果密码过期且应用程序开发人员未考虑此问题，服务可能停止运行。然后，必须写入特殊程序以允许定期手动更改密码。

注意：AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用，以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署，预计可以获得准确的初步分析，而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署，将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题，请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations