En la empresa para la que trabajo están por hacernos la auditoria
SAS70, en la que rebisan que nuestros servidores que administramos cumplan ciertos estándares de seguridad [Security Baseline]. entre estas directivas tenemos que mitigar todas las vulnerabilidades o posibles desviaciones a estos estándares, en caso de no cumplirse devido a alguna solicitud del cliente o derivada de alguna de sus aplicaciones; se genera un caso de negocio [Business Case] donde el cliente firma y acepta el riesgo que se corre al no cumplir con las políticas establecidas. La diferencia entre un
SAS70 y una Certificación es que la certificación si no la obtienes simple mente no te entregan tu reconocimiento, pero en el
SAS70 te entregan un documento en el que indica en que si cumples y en que no, por lo que si no pasas "la prueba" sales mal en la "Foto" Una de las políticas que se están auditando es la que dice que los usuarios deben tener contraseña, y esto se analiza por medio de la propiedad del usuario "Password required", tal vez se pasen como yo buscando esta propiedad dentro de las propiedades de los usuarios en el active Directory con el
ADSI Edit sin obtener exito. La solución está en la propiedad UserAcountControl está propiedad segín el valor que tenga define una o más propiedades de la cuenta. La tabla siguiente enumera los marcadores que puede asignar, no es posible establecer algunos de estos valores en un objeto de usuario o equipo porque estos valores sólo los puede establecer o restablecer el servicio de directorio. Los marcadores son acumulativos, para deshabilitar la cuenta de un usuario, establezca el atributo UserAccountControl con el valor 0x0202 (0x002 + 0x0200). En decimal, corresponde a 514 (2 + 512). Estas modificaciones las podríamos realizar con
ADSI Edit,
Ldp.exe, o con un script.
| Indicador de propiedad |
| Valor en formato hexadecimal | Valor en formato decimal |
|---|
| SECUENCIA DE COMANDOS |
| 0x0001 | 1 |
| ACCOUNTDISABLE |
| 0x0002 | 2 |
| HOMEDIR_REQUIRED |
| 0x0008 | 8 |
| LOCKOUT |
| 0x0010 | 16 |
| PASSWD_NOTREQD |
| 0x0020 | 32 |
| PASSWD_CANT_CHANGE Nota No puede asignar este permiso modificando directamente el atributo UserAccountControl. Para obtener información acerca de cómo establecer mediante programación el permiso, vea la sección "Descripción de los marcadores de propiedades". |
| 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED |
| 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT |
| 0x0100 | 256 |
| NORMAL_ACCOUNT |
| 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT |
| 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT |
| 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT |
| 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD |
| 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT |
| 0x20000 | 131072 |
| SMARTCARD_REQUIRED |
| 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION |
| 0x80000 | 524288 |
| NOT_DELEGATED |
| 0x100000 | 1048576 |
| USE_DES_KEY_ONLY |
| 0x200000 | 2097152 |
| DONT_REQ_PREAUTH |
| 0x400000 | 4194304 |
| PASSWORD_EXPIRED |
| 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION |
| 0x1000000 | 16777216 |
En este caso la propiedad que nos interesa es la de PASSWD_NOTREQD donde el valor es 32, teniendo en consideración que si el valor de una cuenta normal es 512, si le sumamos el valor de PASSWD_NOTREQD 32 nos queda como reultado 544, si buscamos con el ADSI Edit el valor que tiene UserAccountControl en efecto es 544, y lo cambiamos a 512 para que nos identifique como una cuenta Normal que requiere contraseña.
Este comentario ha sido eliminado por el autor.
Este comentario ha sido eliminado por el autor.
Este comentario ha sido eliminado por el autor.