安全评估：在 GPO 中找到可逆密码

此态势建议列出了环境中包含密码数据的任何组策略对象。 

为什么组策略对象包含密码数据是一种风险？

组策略首选项 (GPP) 以前允许管理员在域策略中包含嵌入凭据。 但是，由于存在密码不安全存储的安全问题，在 MS14-025 版本中删除了此功能。 但包含这些凭据的文件仍可能存在于 SYSVOL 文件夹中，这意味着任何域用户都可以使用公开的 AES 密钥访问这些文件并解密密码。
为了防止攻击者的潜在利用，建议删除包含嵌入凭据的任何现有首选项。

修正步骤

若要删除包含密码数据的首选项，请使用组策略管理控制台 (GPMC) ，或者从安装了远程服务器管理工具的客户端 (RSAT) 。 可以按照以下步骤删除任何首选项：

1. 在 GPMC 中，打开“公开的实体”选项卡中报告的组策略。

2. 导航到包含密码数据的首选项配置并删除 对象。 单击“应用”和“确定”以保存更改。  
   例如：
   

3. 等待组策略刷新周期，以允许更改传播到客户端， (通常最多 120 分钟) 。

4. 将更改应用到所有客户端后，请删除首选项。  

5. 根据需要重复步骤 1 到 5 以清理整个环境。  

后续步骤

• 详细了解Microsoft安全功能分数