Sicherheitsbewertung: Umkehrbare Kennwörter in GPOs
Diese Sicherheitsempfehlung listet alle Gruppenrichtlinienobjekte in Ihrer Umgebung auf, die Kennwortdaten enthalten.
Warum können Gruppenrichtlinienobjekte, die Kennwortdaten enthalten, ein Risiko darstellen?
Die Gruppenrichtlinienpräferenzen (GPP) erlaubten es Administrierenden bisher, eingebettete Anmeldeinformationen in Domänenrichtlinien aufzunehmen. Dieses Feature wurde jedoch mit der Veröffentlichung von MS14-025 aufgrund von Sicherheitsbedenken hinsichtlich der unsicheren Speicherung von Kennwörtern entfernt. Die Dateien mit diesen Anmeldeinformationen könnten sich jedoch immer noch im SYSVOL-Ordner befinden, was bedeutet, dass alle Domänenbenutzenden auf die Dateien zugreifen und das Kennwort mit dem öffentlich verfügbaren AES-Schlüssel entschlüsseln kann.
Um eine mögliche Ausnutzung durch Angreifende zu verhindern, wird empfohlen, alle vorhandenen Einstellungen zu entfernen, die eingebettete Anmeldeinformationen enthalten.
Schritte zur Bereinigung
Um die Einstellungen zu entfernen, die Kennwortdaten enthalten, verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC) auf einem Domänencontroller oder von einem Client aus, auf dem die Remote Server Administration Tools (RSAT) installiert sind. Sie können jede Einstellung entfernen, indem Sie die folgenden Schritte ausführen:
Öffnen Sie in der GPMC die Gruppenrichtlinie, die auf der Registerkarte „Gefährdete Entitäten“ angezeigt wird.
Navigieren Sie zu der Einstellungskonfiguration, die Kennwortdaten enthält, und löschen Sie das Objekt. Klicken Sie auf Übernehmen und OK, um Ihre Änderungen zu speichern.
Zum Beispiel:
Warten Sie einen Aktualisierungszyklus der Gruppenrichtlinien ab, damit die Änderungen auf die Clients übertragen werden können (normalerweise bis zu 120 Minuten).
Nachdem die Änderungen auf alle Clients angewendet wurden, löschen Sie die Einstellung.
Wiederholen Sie die Schritte 1 bis 5 je nach Bedarf, um Ihre gesamte Umgebung zu säubern.