具有组策略首选项的密码安全

时间:2020-01-09 10:46:45  来源:igfitidea点击:

组策略首选项(GPP)是一个功能强大的Windows组策略扩展,它使设置和管理计算机暂存区变得更加容易,并且可以替代GPO中的不同脚本。 GPP的机会之一是管理许多管理员广泛使用的本地和服务帐户的密码,他们甚至不知道这种技术是不安全的。在本文中,我们将解释为什么我们不应该使用组策略首选项的密码管理功能。

有5种不同的策略允许在"组策略首选项"中设置用户/管理员密码。

  • 使用GPP的本地用户和组,管理员可以创建/更改本地帐户并设置其密码(此策略通常用于在所有PC上更改本地管理员的密码)
  • 数据源创建数据源时,我们可以设置用户名和密码以用于连接帐户。
  • Windows计划任务计划任务可以从某个用户帐户运行

服务GPP允许指定从中运行特定服务的帐户及其密码(而不是本地系统帐户)。

加密的密码是CPASSWORD字段的值。最有趣的是,Microsoft在MSDN中发布了用于加密密码的32位AES密钥(http://msdn.microsoft.com/zh-cn/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx# endNote2)

还需要注意的是,自2012年以来就存在用于获取和解密GPP中存储的密码的MetaSploit模块。这意味着黑客几乎可以自动实施此攻击媒介。