Active Directory计算机账户安全指南:检测与管理技巧

本文详细介绍了Active Directory计算机账户的安全管理方法,包括如何识别老旧操作系统、检测非活跃计算机账户,以及使用PowerShell脚本分析密码最后设置时间和最后登录日期等关键属性。

Active Directory安全提示 #3:计算机账户

Active Directory计算机账户应每年审查一次。老旧操作系统可能会阻碍安全进展,例如保持SMBv1和NTLMv1处于活动状态。非活跃计算机应在不再使用时被发现并禁用(最终移除)。OperatingSystem和PasswordLastSet属性含义明确,但我们可以使用LastLogonDate属性,它代表计算机的最后重启时间。默认情况下,计算机密码应每约30天更改一次。我们可以关联PasswordLastSet和LastLogonDate属性值来判断计算机是否活跃。空白的LastLogonDate值意味着该计算机对象仅是一个对象,并未与实际系统关联。

计算机密码信息

PowerShell代码(使用Active Directory PowerShell模块):

1
2
3

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
Get-ADComputer -filter * -Prop name,OperatingSystem,LastLogonDate,PasswordLastSet -Server $DomainDC | sort OperatingSystem | select name,OperatingSystem,LastLogonDate,PasswordLastSet
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次