Active-Directory

我可以使用可逆加密以明文形式獲取所有活動目錄密碼嗎?

  • January 21, 2015

編輯:任何人都可以真正回答這個問題嗎?謝謝,我不需要審計跟踪,我會知道所有密碼並且使用者無法更改它們,我將繼續這樣做。

這不是黑客攻擊!

我們最近從一個陳舊而生鏽的 Linux/Samba 域遷移到了一個活動目錄。我們有一個自定義的小界面來管理那裡的帳戶。它始終將所有使用者和所有服務帳戶的密碼以明文形式儲存在安全位置(當然,你們中的許多人肯定不會認為這是安全的,但如果沒有真正的漏洞,沒人能讀懂它)並禁用密碼更改桑巴域控制器。此外,沒有使用者可以選擇自己的密碼,我們使用 pwgen 創建它們。我們不會每 40 天左右更換一次,而是每 2 年一次以獎勵員工真正學習它們而不是寫下來。

例如,我們需要密碼才能進入使用者帳戶並修改對於組策略而言過於復雜的設置或幫助使用者。

這些當然可能是有爭議的政策,但我想在 AD 上繼續它們。現在,我將新帳戶及其 PWGEN 生成的(pwgen 創建帶有大量元音、輔音和數字的好聽的隨機詞)手動保存到舊腳本用於自動維護的舊文本文件中。

如何在 AD 中恢復此功能?

我看到 AD 帳戶中有“可逆加密”,可能用於需要儲存在伺服器上的明文密碼的質詢響應身份驗證系統。

是否有顯示所有這些密碼的腳本?那很好啊。(再次重申:我相信我的 DC 不會受到損害。)

或者我可以在 AD 使用者和電腦中安裝一個外掛,獲取每個新密碼的通知並將其儲存到文件中?

在可以使用 GINA-dll 的客戶端上,他們可以獲得有關密碼的通知並獲得明文。

要回答這個問題,請閱讀: http: //blog.teusink.net/2009/08/passwords-stored-using-reversible.html

文章底部描述瞭如何獲取儲存的可逆密碼。沒有嘗試過,所以不知道該怎麼做,但它應該可以工作。

除此之外,我同意其他對使用可逆加密的建議大喊大叫的人。它只是不安全。

在我看來,您通過使用他們的帳戶登錄來為使用者提供支持 - 知道他們的密碼?正如你所說,這是一個非常糟糕的主意,原因有很多。

我知道一些老派使用者傾向於喜歡這樣,他們只是聳聳肩,要求你遠端修復它並給你他們的密碼。但只是說不。除了他們自己,沒有人應該知道他們的密碼——基本原則。

大多數事情都可以從您自己的另一個使用者上下文中修復。那些真的不能,並且需要與使用者互動登錄的人,要求使用者這樣做並留下來觀看工作人員通過該使用者的帳戶修復內容。

遠端有 RDP Shadow、Remote Help 和類似的互動式解決方案,使用者可以控制,無需知道他或她的密碼來幫助解決一些與桌面相關的問題。使用組策略基本上不需要這種行為,因為大多數事情都可以由管理員輕鬆配置。

如果您授予其他人訪問其他人的使用者帳戶的權限 - 您也會失去對系統中使用者所做操作的審計跟踪和責任 - 這很容易超出授權管理員組。

引用自:https://serverfault.com/questions/8808