Sdílet prostřednictvím

Posouzení zabezpečení: Reverzibilní hesla nalezená v objektech zásad skupiny

  • Článek

Toto doporučení pro stav uvádí všechny objekty zásad skupiny ve vašem prostředí, které obsahují data hesel. 

Proč můžou být objekty zásad skupiny, které obsahují data hesel, rizikem?

Zásady skupiny Preferences (GPP) dříve umožňovala správcům zahrnout vložené přihlašovací údaje do zásad domény. Tato funkce však byla s vydáním MS14-025 odebrána kvůli obavám o zabezpečení týkajícím se nezabezpečeného úložiště hesel. Soubory obsahující tyto přihlašovací údaje ale můžou být stále ve složce SYSVOL, což znamená, že každý uživatel domény může přistupovat k souborům a dešifrovat heslo pomocí veřejně dostupného klíče AES.
Pokud chcete zabránit potenciálnímu zneužití nežádoucími osobami, doporučujeme odebrat všechny existující předvolby, které obsahují vložené přihlašovací údaje.

Nápravné kroky

Chcete-li odebrat předvolby obsahující data hesel, použijte konzolu Zásady skupiny Management Console (GPMC) na řadiči domény nebo v klientovi, který má nainstalované Nástroje pro vzdálenou správu serveru (RSAT). Libovolnou předvolbu můžete odebrat následujícím postupem:

  1. V konzole GPMC otevřete Zásady skupiny nahlášené na kartě Vystavené entity.

  2. Přejděte na konfiguraci předvoleb, která obsahuje data hesel, a odstraňte objekt. Kliknutím na Použít a OK uložte změny.  
    Příklady:
    Snímek obrazovky s odstraněním objektu

  3. Počkejte Zásady skupiny cyklu aktualizace, aby se změny mohly rozšířit do klientů (obvykle až 120 minut).

  4. Po použití změn u všech klientů odstraňte předvolbu.  

  5. Opakujte kroky 1 až 5 podle potřeby, abyste vyčistili celé prostředí.  

Další kroky