是否有一个简单的方法来检查Windows 2008R2 DC用户帐户的标志或密钥材料,显示帐户目前有一个可逆的密码存储?
我知道DSInternals,但我不想解密的密码。 我已经通过AD资源pipe理器查看了AD属性,但没有看到任何明显的标志(即使在权限设置在组级别或域级别时,即使按照UserCRcc控制中的ENCRYPTED_TEXT_PWD_ALLOWED也不会更改)。
这可能有助于validation此数据是否被删除,或validation仍然需要使用像Digest或CHAP这样需要访问密码的encryption方法的用户。
谢谢。
首先,永远不要使用摘要式身份validation和可逆encryption。 有些工具 可以使用这些工具轻松地为帐户提取纯文本密码。 攻击者通常使用这种方法来提取帐户的纯文本密码,以便他们可以学习如何生成密码,并且如果他们失去持久性,就可以轻松地猜出下一个密码。
确定是否正在使用的最佳方法是检查组策略,细粒度密码策略或Active Directory用户帐户中是否已启用。 一旦设置启用,用户明文密码将在下一次密码重置后可用。
1)组策略(默认域策略):
计算机configuration\ Windows设置\安全设置\帐户策略\密码策略 – >“使用可逆encryption存储密码”
从TechNet开始 :“这项政策的目的是为使用需要知道用户密码的协议来进行身份validation的应用程序提供支持。使用可逆encryption存储密码本质上与存储明文密码版本相同。原因,除非应用程序需求超过保护密码信息的需要,否则不应该启用此策略。“
2)细粒度密码策略:
请点击此处查看如何查看用户或全局安全组的结果PSO。
从TechNet :“您可以使用细粒度的密码策略在单个域中指定多个密码策略,您可以使用细粒度的密码策略对域中的不同用户组应用不同的密码和帐户locking策略限制。
3)在域用户对象帐户选项:
“使用可逆encryption存储密码”
Get-ADObject -LDAPFilter '(&(objectClass=user)(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=128))'使用此PowerShell查询来查找您的域中使用“使用可逆encryption存储密码”checkboxGet-ADObject -LDAPFilter '(&(objectClass=user)(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=128))'
这里是另一种PowerShell方法来识别启用可逆encryption的域帐户:
Get-ADUser -Filter 'AllowReversiblePasswordEncryption -eq "True"'
2008R2将密码存储在隐藏的supplementalCredentials属性中。 该属性通常不可读或可写。 有一些读取方法,例如使用DSInternals模块中的Get-ADReplAccount设置伪造的复制对等体或脱机parsingntds.dit数据库文件(例如,使用Get-ADDBAccount )。 基于LDAP的工具(如Revdump不再有效。