A conta de serviço gerenciado tem a opção "Todos: Alterar senha" por padrão

5

Eu criei uma conta de serviço usando o cmdlet Add-ADComputerServiceAccount e liguei a uma conta de computador usando Install-ADServiceAccount . Ao olhar para a ACL do objeto de conta de serviço criado, notei que o grupo "Everyone" tem a permissão "Change Password" atribuída para este objeto, enquanto "SELF" misteriosamente não:

Isso parece um problema de segurança e um vetor de ataque de negação de serviço. Porque isto é assim? Tem que ficar assim?

    
por the-wabbit 08.01.2014 / 16:45

1 resposta

5

Dê uma olhada na ACL de segurança padrão em uma conta de usuário normal. Você notará que Todos também têm Senha de Mudança neles. Mas todos não podem simplesmente trocar as senhas dos outros.

Lembre-se de que Alterar senha e Redefinir senha são duas permissões diferentes. Alterar uma senha é algo que o usuário faz por si e requer o fornecimento da senha atual como parte do processo. A redefinição de uma senha é algo feito administrativamente por outro usuário e não exige a senha atual.

Editar : Não, eu estava errado sobre o motivo subjacente. O artigo da Microsoft KB242795 explica melhor o motivo subjacente da permissão.

Do artigo:

The Everyone group has Change Password permissions on all computer and user objects so that unauthenticated or "anonymous" users or computers are able to change their passwords when they expire without having to be authenticated first. If the anonymous user is denied the ability to change passwords, the user would be unable to change the password without logging on.

    
por 08.01.2014 / 20:35