安全评估:在 GPO 中找到可逆密码
此态势建议列出了环境中包含密码数据的任何组策略对象。
为什么组策略对象包含密码数据是一种风险?
组策略首选项 (GPP) 以前允许管理员在域策略中包含嵌入凭据。 但是,由于存在密码不安全存储的安全问题,在 MS14-025 版本中删除了此功能。 但包含这些凭据的文件仍可能存在于 SYSVOL 文件夹中,这意味着任何域用户都可以使用公开的 AES 密钥访问这些文件并解密密码。
为了防止攻击者的潜在利用,建议删除包含嵌入凭据的任何现有首选项。
修正步骤
若要删除包含密码数据的首选项,请使用组策略管理控制台 (GPMC) ,或者从安装了远程服务器管理工具的客户端 (RSAT) 。 可以按照以下步骤删除任何首选项:
在 GPMC 中,打开“公开的实体”选项卡中报告的组策略。
导航到包含密码数据的首选项配置并删除 对象。 单击“应用”和“确定”以保存更改。
例如:
等待组策略刷新周期,以允许更改传播到客户端, (通常最多 120 分钟) 。
将更改应用到所有客户端后,请删除首选项。
根据需要重复步骤 1 到 5 以清理整个环境。