Evaluación de seguridad: contraseñas reversibles encontradas en GPO
En esta recomendación de posición se enumeran los objetos de directiva de grupo del entorno que contienen datos de contraseña.
¿Por qué puede ser un riesgo agrupar objetos de directivas que contienen datos de contraseña?
directiva de grupo Preferencias (GPP) anteriormente permitía a los administradores incluir credenciales incrustadas en las directivas de dominio. Sin embargo, esta característica se quitó con la versión MS14-025 debido a problemas de seguridad relacionados con el almacenamiento no seguro de contraseñas. Pero los archivos que contienen estas credenciales todavía podrían estar presentes en la carpeta SYSVOL, lo que significa que cualquier usuario de dominio puede acceder a los archivos y descifrar la contraseña mediante la clave AES disponible públicamente.
Para evitar la posible explotación por parte de los adversarios, se recomienda quitar las preferencias existentes que contengan credenciales incrustadas.
Pasos de corrección
Para quitar las preferencias que contienen datos de contraseñas, use directiva de grupo Consola de administración (GPMC) en un controlador de dominio o desde un cliente que tenga instaladas las Herramientas de administración remota del servidor (RSAT). Puede quitar cualquier preferencia siguiendo estos pasos:
En GPMC, abra la directiva de grupo notificada en la pestaña Entidades expuestas.
Vaya a la configuración de preferencias que contiene datos de contraseña y elimine el objeto. Haga clic en Aplicar y Aceptar para guardar los cambios.
Por ejemplo:
Espere un ciclo de actualización directiva de grupo para permitir que los cambios se propaguen a los clientes (normalmente hasta 120 minutos).
Después de aplicar los cambios a todos los clientes, elimine la preferencia.
Repita los pasos del 1 al 5 según sea necesario para limpiar todo el entorno.