Sikkerhetsvurdering: Reversible passord funnet i gpoer
Denne holdningsanbefalingen viser alle gruppepolicyobjekter i miljøet ditt som inneholder passorddata.
Hvorfor kan gruppepolicyobjekter som inneholder passorddata, være en risiko?
gruppepolicy Preferences (GPP) har tidligere tillatt administratorer å inkludere innebygd legitimasjon i domenepolicyer. Denne funksjonen ble imidlertid fjernet ved utgivelsen av MS14-025 på grunn av sikkerhetshensyn angående usikker lagring av passord. Men filer som inneholder denne legitimasjonen, kan fremdeles finnes i SYSVOL-mappen, noe som betyr at alle domenebrukere kan få tilgang til filene og dekryptere passordet ved hjelp av den offentlig tilgjengelige AES-nøkkelen.
For å forhindre potensiell utnyttelse av motstandere, anbefales det å fjerne eventuelle eksisterende preferanser som inneholder innebygd legitimasjon.
Utbedringstrinn
Hvis du vil fjerne innstillingene som inneholder passorddata, kan du bruke gruppepolicy Management Console (GPMC) på en domenekontroller eller fra en klient som har Remote Server Administration Tools (RSAT) installert. Du kan fjerne alle innstillinger ved å følge disse trinnene:
Åpne gruppepolicy rapportert i kategorien Eksponerte enheter i GPMC.
Naviger til innstillingskonfigurasjonen som inneholder passorddata, og slett objektet. Klikk Bruk og OK for å lagre endringene.
Eksempel:
Vent en gruppepolicy oppdateringssyklus for å tillate endringer å overføre til klienter (vanligvis opptil 120 minutter).
Når endringene er tatt i bruk for alle klienter, sletter du innstillingen.
Gjenta trinn 1 til 5 etter behov for å rengjøre hele miljøet.