Logo faq-o-matic.net
Logo faq-o-matic.net

Passworte in Gruppenrichtlinienobjekten entfernen

von veröffentlicht am14. September 2015, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit, Tools   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer kennt das nicht? Einfach per Gruppenrichtlinien das Kennwort des lokalen Administrators ändern oder Tasks mit Nutzer anlegen usw. usf. Seit Windows Server 2008 konnte man mit der Software von Policymaker aus der DesktopStandard-Übernahme viele Aufgaben mittels GPO konfigurieren. Der Nachteil daran war, dass die verwendeten Kennworte zwar verschlüsselt im SYSVOL-Verzeichnis abgelegt waren, allerdings muss jeder Client diese natürlich wieder entschlüsseln können. Also kann immer nur symmetrisch verschlüsselt werden. Der Schlüssel ist bei Microsoft entsprechend dokumentiert http://msdn.microsoft.com/en-us/library/cc422924.aspx. Damit ist grundsätzlich jeder mit Zugriff auf das SYSVOL-Verzeichnis in der Lage die Kennworte auch auszulesen: http://www.gruppenrichtlinien.de/artikel/get-gpppasswordps1-kennworte-im-xml-in-plaintext-umwandeln/ und http://www.faq-o-matic.net/2014/07/02/ms14-025-das-ende-der-gespeicherten-gpo-passwoerter/

Aus diesem Grund hat Microsoft schon im Mai 2014 mit einem Patch die Funktion zur Eingabe von Passworten entfernt: https://support.microsoft.com/de-de/kb/2962486. Das hatte allerdings zur Folge, dass bereits vergebene Kennworte auch nicht mehr entfernt werden konnten und seitdem im SYSVOL-Nirvana schwebten und damit immer noch entschlüsselt werden können. Das von Microsoft im obigen Link empfohlene Vorgehen zum Entfernen ist relativ unhandlich durchzuführen und führt dazu, dass offenbar viele das Problem ignorieren oder nicht bis zum Ende durchführen (https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security).

Deswegen wurde von Darren Mar-Elias‘ Firma „SDM Software“ ein kleines Freeware-Tool veröffentlicht, welches alle notwendigen Schritte mittels weniger Klicks durchführt. Das Tool hört auf den etwas sperrigen Namen „SDM Software GP Preference Password Remediation Tool 1.0“.

Nach der Installation wird das Tool gestartet und mittels Klick auf Suche (ggf. nach der Eingabe der zu durchsuchenden Domäne) erfährt man, ob man Aufräumbedarf hat oder nicht.

clip_image002

Die einzelnen GPOs können dann mittels Rechtsklick und „Remediate CPassword Entries“ bereinigt werden. Das Tool legt vorher ein Backup jedes zu bearbeitenden GPOs an.

Sollte man keine betroffenen GPOs im Einsatz haben, erhält man eine entsprechende Rückmeldung.

clip_image003

Es gibt also keinen Grund mehr, diese Sicherheitslücke weiterhin offen zu lassen.

Mehr über die Arbeitsweise, weiterführende Informationen und Downloadmöglichkeit finden sich im folgenden Blogeintrag beschrieben: https://sdmsoftware.com/group-policy-blog/security-related/remediating-group-policy-preference-passwords/

Microsoft selbst hat inzwischen eine Möglichkeit für das Handling lokaler Administratorkennworte veröffentlicht. Mit Hilfe der Local Administrator Password Solution erhält man eine umfassende Lösung. Siehe hierzu folgenden Artikel:

http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!