共用方式為

安全性評估:在 GPO 中找到的可復原密碼

  • 發行項

此狀態建議會列出環境中包含密碼數據的任何組策略物件。 

為什麼包含密碼數據的組策略物件可能會有風險?

群組原則 喜好設定 (GPP) 先前允許系統管理員在網域原則中包含內嵌認證。 不過,MS14-025 發行時已移除這項功能,因為安全性考慮與密碼儲存不安全有關。 但是包含這些認證的檔案仍可能出現在 SYSVOL 資料夾中,這表示任何網域使用者都可以使用公開可用的 AES 金鑰來存取檔案並解密密碼。
若要防止攻擊者可能利用,建議您移除任何包含內嵌認證的現有喜好設定。

補救步驟

若要移除包含密碼數據的喜好設定,請在域控制器或已安裝遠端伺服器管理工具 (RSAT) 的用戶端上,使用 群組原則 Management Console (GPMC) 。 您可以依照下列步驟移除任何喜好設定:

  1. 在 GPMC 中,開啟 [公開實體] 索引標籤中所報告的 群組原則。

  2. 流覽至包含密碼數據的喜好設定,並刪除物件。 按兩下 [套 用] 和 [確定] 以儲存您的變更。  
    例如:
    刪除物件的螢幕快照。

  3. 等候 群組原則 重新整理迴圈,以允許變更傳播至用戶端 (通常) 120 分鐘。

  4. 將變更套用至所有客戶端之後,請刪除喜好設定。  

  5. 視需要重複步驟 1 到 5,以清除整個環境。  

後續步驟