重置密码

说明

源安全主体可重置目标的密码，从而使其能够使用新的属性密码对目标进行身份验证，并通过目标的特权受益。

重置密码与更改密码不同，更改密码操作可由知道当前密码的任何人执行。密码过期时，通常需要更改密码。

渗透利用

危害源安全主体的攻击者只需通过使用“net user /domain”等本机 Windows 命令、“Set-ADAccountPassword -Reset”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来重设目标的密码。

此后，攻击者只需使用合法的身份验证方法，以其新选择的密码对 Active Directory 或目标资源进行身份验证，即可完全假冒目标。

但是，攻击者通常不知道要在攻击后恢复为以前的密码。因此，攻击通常对目标背后的合法人员可见，甚至会造成拒绝服务，对于服务帐户更是如此。

修复

IT 管理员和服务台工作人员可以依法重置密码。但您必须建立适当的委派，以便他们仅在其允许的范围内执行此操作。

此外，根据分层模型，必须确保普通用户服务台等较低级别的工作人员无法重置较高级别帐户（例如域管理员）的密码，因为这是一个可以提升特权的机会。

若要修改目标的安全描述符并删除非法权限，请执行以下操作：

1. 在“Active Directory 用户和计算机”中，右键点击“属性”>“安全性”。

2. 删除源安全主体的“重置密码”权限。

注意：请勿将此权限与“更改密码”混淆。

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 拥有

• RODC 管理

• 写入 DACL

• 写入所有者