Beveiligingsevaluatie: omkeerbare wachtwoorden gevonden in groepsbeleidsobjecten
In deze aanbeveling worden alle groepsbeleidsobjecten in uw omgeving vermeld die wachtwoordgegevens bevatten.
Waarom kunnen groepsbeleidsobjecten die wachtwoordgegevens bevatten een risico vormen?
groepsbeleid Voorkeuren (GPP) stond beheerders eerder toe om ingesloten referenties in domeinbeleid op te nemen. Deze functie is echter verwijderd met de release van MS14-025 vanwege beveiligingsproblemen met betrekking tot de onveilige opslag van wachtwoorden. Maar bestanden met deze referenties kunnen nog steeds aanwezig zijn in de map SYSVOL, wat betekent dat elke domeingebruiker toegang heeft tot de bestanden en het wachtwoord kan ontsleutelen met behulp van de openbaar beschikbare AES-sleutel.
Om potentiële misbruik door aanvallers te voorkomen, is het raadzaam om bestaande voorkeuren die ingesloten referenties bevatten, te verwijderen.
Herstelstappen
Als u de voorkeuren met wachtwoordgegevens wilt verwijderen, gebruikt u groepsbeleid Beheerconsole (GPMC) op een domeincontroller of vanaf een client waarop RSAT (Remote Server Administration Tools) is geïnstalleerd. U kunt elke voorkeur verwijderen door deze stappen uit te voeren:
Open in gpmc de groepsbeleid gerapporteerd op het tabblad Weergegeven entiteiten.
Navigeer naar de voorkeursconfiguratie die wachtwoordgegevens bevat en verwijder het object. Klik op Toepassen en OK om uw wijzigingen op te slaan.
Bijvoorbeeld:
Wacht een groepsbeleid vernieuwingscyclus om wijzigingen door te geven aan clients (meestal maximaal 120 minuten).
Nadat de wijzigingen zijn toegepast op alle clients, verwijdert u de voorkeur.
Herhaal stap 1 tot en met 5 zo nodig om uw hele omgeving op te schonen.