安全评估：在 GPO 中发现可逆密码

此状况建议列出了环境中包含密码数据的任何组策略对象。 

为什么包含密码数据的组策略对象可能存在风险？

组策略首选项 (GPP) 以前允许管理员在域策略中包含嵌入式凭据。 然而，由于对密码存储不安全的安全考虑，该功能在 MS14-025 发布时被删除了。 但是，SYSVOL 文件夹中仍可能存在包含这些凭据的文件，这意味着任何域用户都可以使用公开可用的 AES 密钥访问这些文件并解密密码。
为了防止攻击者的潜在利用，建议删除任何包含嵌入式凭据的现有首选项。

修正步骤

若要删除包含密码数据的首选项，请在域控制器上或安装了远程服务器管理工具 (RSAT) 的客户端上使用组策略管理控制台 (GPMC)。 可以按照以下步骤删除任何首选项：

1. 在 GPMC 中，打开“公开的实体”选项卡中报告的组策略。

2. 导航到包含密码数据的首选项配置，并删除该对象。 单击应用或确定，以保存更改。  
   例如：
   

3. 等待组策略刷新周期，以允许更改传播到客户端（通常多达 120 分钟）。

4. 将更改应用于所有客户端后，删除首选项。  

5. 根据需要重复步骤 1 到 5，以清理整个环境。  

后续步骤

• 详细了解 Microsoft 安全功能分数