Есть ли простой способ проверить учетные записи пользователей Windows 2008R2 DC на наличие флага или ключевого материала, который показывает, что в учетной записи в настоящее время хранится обратимый пароль?
Мне известно о DSInternals, но я не собираюсь расшифровывать пароли. Я просмотрел атрибуты AD через AD Explorer, но не увидел никаких очевидных флагов (даже побитовые, например ENCRYPTED_TEXT_PWD_ALLOWED в UserAccountControl, не меняются, когда право установлено на уровне группы или домена).
Это может быть полезно для проверки того, что эти данные удалены, или для проверки пользователей, которым по-прежнему приходится использовать методы шифрования, такие как Digest или CHAP, требующие доступа к паролю.
Спасибо.
Во-первых, дайджест-аутентификация и обратимое шифрование должны никогда когда-либо использоваться. Есть инструменты доступный чтобы легко извлекать пароли в виде обычного текста для учетных записей, использующих их. Злоумышленники обычно используют этот метод для извлечения паролей из обычного текста ваших учетных записей, чтобы они могли узнать, как генерируются пароли, и легко угадать следующий, если они когда-либо потеряют устойчивость.
Лучший способ определить, используется ли это, - проверить, включен ли он в групповой политике, детальных политиках паролей или в учетной записи пользователя Active Directory. После включения настройки пароль пользователя в виде обычного текста будет доступен после следующего сброса пароля.
1) Групповая политика (политика домена по умолчанию):
Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Политики учетной записи \ Политика паролей -> «Сохранить пароль с использованием обратимого шифрования»
Из TechNet: "Целью данной политики является обеспечение поддержки приложений, использующих протоколы, требующие знания пароля пользователя для целей аутентификации. Хранение паролей с использованием обратимого шифрования по сути то же самое, что и хранение версий паролей в открытом виде. По этой причине, эта политика никогда не должна быть включена, если требования приложений не перевешивают необходимость защиты информации о пароле ».
2) Детализированные политики паролей:
Проверить здесь о том, как просмотреть Результирующий PSO для пользователя или глобальной группы безопасности.
Из TechNet: «Вы можете использовать детализированные политики паролей, чтобы указать несколько политик паролей в одном домене. Вы можете использовать детализированные политики паролей для применения различных ограничений для политик паролей и блокировки учетных записей для разных групп пользователей в домене».
3) В параметрах учетной записи объекта пользователя домена:
«Сохранить пароль с использованием обратимого шифрования»
Используйте этот запрос PowerShell, чтобы найти пользователей в вашем домене, для которых установлен флажок «Хранить пароль с использованием обратимого шифрования». проверил: Get-ADObject -LDAPFilter '(&(objectClass=user)(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=128))'
Вот еще один метод PowerShell для идентификации учетных записей домена с включенным обратимым шифрованием:
Get-ADUser -Filter 'AllowReversiblePasswordEncryption -eq "True"'
2008R2 хранит пароль в скрытом атрибуте additionalCredentials. Этот атрибут обычно не доступен для чтения или записи. Существуют методы его чтения, такие как настройка поддельного однорангового узла репликации с помощью Get-ADReplAccount в DSInternals модуль или разбор ntds.dit файл базы данных в автономном режиме (например, с Get-ADDBAccount). Инструменты на основе LDAP, такие как Revdump больше не работает.