Sikkerhedsvurdering: Adgangskoder, der kan fortrydes, blev fundet i gruppepolitikobjekter
Denne holdningsanbefaling viser alle gruppepolitikobjekter i dit miljø, der indeholder adgangskodedata.
Hvorfor kan gruppepolitikker, der indeholder adgangskodedata, være en risiko?
Gruppepolitik-indstillinger har tidligere tilladt administratorer at medtage integrerede legitimationsoplysninger i domænepolitikker. Denne funktion blev dog fjernet med udgivelsen af MS14-025 af sikkerhedsmæssige årsager vedrørende usikker lagring af adgangskoder. Men filer, der indeholder disse legitimationsoplysninger, kan stadig være til stede i SYSVOL-mappen, hvilket betyder, at alle domænebrugere kan få adgang til filerne og dekryptere adgangskoden ved hjælp af den offentligt tilgængelige AES-nøgle.
For at forhindre potentiel udnyttelse af modstandere anbefales det at fjerne alle eksisterende indstillinger, der indeholder integrerede legitimationsoplysninger.
Afhjælpningstrin
Hvis du vil fjerne de indstillinger, der indeholder adgangskoder, skal du bruge GPMC (Gruppepolitik Management Console) på en domænecontroller eller fra en klient, hvor RSAT (Remote Server Administration Tools) er installeret. Du kan fjerne alle indstillinger ved at følge disse trin:
I GPMC skal du åbne Gruppepolitik rapporteret under fanen Eksponerede enheder.
Gå til den indstillingskonfiguration, der indeholder adgangskodedata, og slet objektet. Klik på Anvend og OK for at gemme ændringerne.
Det kan f.eks. være:
Vent et Gruppepolitik opdateringscyklus for at tillade, at ændringer overføres til klienter (normalt op til 120 minutter).
Når ændringerne er anvendt på alle klienter, skal du slette indstillingen.
Gentag trin 1 til 5 efter behov for at rense hele miljøet.