Säkerhetsutvärdering: Reversibla lösenord som finns i grupprincipobjekt

Den här hållningsrekommendationslistan visar alla grupprincipobjekt i din miljö som innehåller lösenordsdata. 

Varför kan grupprincipobjekt som innehåller lösenordsdata utgöra en risk?

grupprincip Inställningar (GPP) tillät tidigare administratörer att inkludera inbäddade autentiseringsuppgifter i domänprinciper. Den här funktionen togs dock bort i och med lanseringen av MS14-025 på grund av säkerhetsproblem när det gäller osäker lagring av lösenord. Men filer som innehåller dessa autentiseringsuppgifter kan fortfarande finnas i SYSVOL-mappen, vilket innebär att alla domänanvändare kan komma åt filerna och dekryptera lösenordet med hjälp av den offentligt tillgängliga AES-nyckeln.
För att förhindra potentiellt utnyttjande av angripare rekommenderar vi att du tar bort alla befintliga inställningar som innehåller inbäddade autentiseringsuppgifter.

Reparationssteg

Om du vill ta bort inställningar som innehåller lösenordsdata använder du grupprincip Management Console (GPMC) på en domänkontrollant eller från en klient som har RSAT (Remote Server Administration Tools) installerat. Du kan ta bort valfri inställning genom att följa dessa steg:

1. Öppna grupprincip som rapporteras på fliken Exponerade entiteter i GPMC.

2. Gå till inställningskonfigurationen som innehåller lösenordsdata och ta bort objektet. Klicka på Använd och OK för att spara ändringarna.  
   Till exempel:
   

3. Vänta en grupprincip uppdateringscykel så att ändringar kan spridas till klienter (vanligtvis upp till 120 minuter) .

4. När ändringarna har tillämpats på alla klienter tar du bort inställningen.  

5. Upprepa steg 1 till 5 efter behov för att rensa hela miljön.  

Nästa steg

• Läs mer om Microsoft Secure Score