Статус обратимого пароля шифрования
Существует ли простой способ проверить учетные записи пользователей Windows 2008R2 DC на наличие флага или ключевого материала, который показывает, что в учетной записи в настоящее время хранится обратимый пароль?
Я знаю о DSInternals, но не хочу расшифровывать пароли. Я просматривал атрибуты AD в AD Explorer, но не обнаружил каких-либо очевидных флагов (даже побитовых, например, ENCRYPTED_TEXT_PWD_ALLOWED в UserAccountControl не изменяется, когда права установлены на уровне группы или домена).
Это может быть полезно для проверки того, что эти данные удалены, или для проверки пользователей, которые все еще должны использовать методы шифрования, такие как дайджест или CHAP, для которых требуется доступ к паролю.
Благодарю.
2 ответа
2008R2 хранит пароль в скрытом атрибуте AdditionalmentalCredentials. Этот атрибут обычно не доступен для чтения или записи. Есть способы его чтения, такие как настройка фиктивной репликации с помощью Get-ADReplAccount в DSInternals модуль или разбор ntds.dit файл базы данных в автономном режиме (например, с Get-ADDBAccount). Инструменты на основе LDAP, такие как Revdump больше не работает.
Прежде всего, никогда не следует использовать дайджест-аутентификацию и обратимое шифрование. Доступны инструменты для простого извлечения паролей в виде простого текста для учетных записей, использующих их. Злоумышленники обычно используют этот метод для извлечения паролей ваших учетных записей в виде простого текста, чтобы они могли узнать, как создаются пароли, и легко угадать следующий, если они когда-либо потеряют постоянство.
Лучший способ определить, используется ли это, - проверить, включен ли он в групповой политике, детализированных политиках паролей или в учетной записи пользователя Active Directory. Как только настройка включена, пароль пользователя будет доступен после следующего сброса пароля.
1) Групповая политика (политика домена по умолчанию):
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Политики учетной записи \ Политика паролей -> "Хранить пароль с помощью обратимого шифрования"
Из TechNet: "Цель этой политики состоит в том, чтобы обеспечить поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя для целей аутентификации. Хранение паролей с использованием обратимого шифрования, по сути, аналогично хранению версий паролей в виде открытого текста. Для этого По этой причине эту политику никогда не следует включать, если только требования приложений не перевешивают необходимость защиты информации о паролях ".
2) Подробные политики паролей:
Проверьте здесь, как просмотреть результирующее PSO для пользователя или глобальной группы безопасности.
Из TechNet: "Вы можете использовать детализированные политики паролей для указания нескольких политик паролей в одном домене. Вы можете использовать детализированные политики паролей, чтобы применять различные ограничения для паролей и политик блокировки учетных записей к различным наборам пользователей в домене".
3) На домене пользователя учетной записи объекта параметры:
"Храните пароль с помощью обратимого шифрования"
Используйте этот запрос PowerShell, чтобы найти пользователей в вашем домене, для которых установлен флажок "Хранить пароль с использованием обратимого шифрования": Get-ADObject -LDAPFilter '(&(objectClass=user)(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=128))'
Вот еще один метод PowerShell для идентификации учетных записей домена с включенным обратимым шифрованием:
Get-ADUser -Filter 'AllowReversiblePasswordEncryption -eq "True"'