Avaliação de Segurança: palavras-passe reversíveis encontradas em GPOs
Esta recomendação de postura lista quaisquer objetos de política de grupo no seu ambiente que contenham dados de palavra-passe.
Por que motivo os objetos de políticas de grupo que contêm dados de palavra-passe podem ser um risco?
Política de Grupo Preferências (GPP) permitiu anteriormente que os administradores incluíssem credenciais incorporadas em políticas de domínio. No entanto, esta funcionalidade foi removida com o lançamento do MS14-025 devido a questões de segurança relacionadas com o armazenamento inseguro de palavras-passe. No entanto, os ficheiros que contêm estas credenciais ainda podem estar presentes na pasta SYSVOL, o que significa que qualquer utilizador de domínio pode aceder aos ficheiros e desencriptar a palavra-passe com a chave AES disponível publicamente.
Para impedir a potencial exploração por adversários, recomenda-se remover quaisquer preferências existentes que contenham credenciais incorporadas.
Passos de remediação
Para remover as preferências que contêm dados de palavras-passe, utilize a Consola de Gestão do Política de Grupo (GPMC) num controlador de domínio ou de um cliente que tenha as Ferramentas de Administração Remota do Servidor (RSAT) instaladas. Pode remover qualquer preferência ao seguir estes passos:
No GPMC, abra o Política de Grupo comunicado no separador Entidades expostas.
Navegue para a configuração de preferência que contém dados de palavra-passe e elimine o objeto. Clique em Aplicar e OK para guardar as alterações.
Por exemplo:
Aguarde um Política de Grupo ciclo de atualização para permitir que as alterações se propaguem aos clientes (normalmente até 120 minutos).
Depois de as alterações serem aplicadas a todos os clientes, elimine a preferência.
Repita os passos 1 a 5 conforme necessário para limpar todo o ambiente.