我可以使用可逆加密以明文形式获取所有活动目录密码吗？

Question

编辑：有人真的可以回答这个问题吗？谢谢，我不需要任何审计跟踪，我会知道所有密码，用户无法更改它们，我将继续这样做。

这不是为了黑客！

我们最近从旧的生锈的 Linux/Samba 域迁移到活动目录。我们有一个自定义的小界面来管理那里的帐户。它始终将所有用户和所有服务帐户的密码以明文形式存储在安全位置（当然，你们中的许多人肯定不会认为这是安全的，但没有真正的漏洞，没有人可以阅读）并禁用密码更改桑巴域控制器。此外，没有用户可以选择自己的密码，我们使用 pwgen 创建它们。我们不会每 40 天左右更换一次，而是每 2 年更换一次，以奖励真正学习它们而不是写下来的员工。

我们需要密码，例如进入用户帐户并修改对于组策略来说太复杂的设置或帮助用户。

这些可能肯定是有争议的政策，但我想在 AD 上继续它们。现在我将新帐户和他们的 PWGEN 生成（pwgen 用大量元音、辅音和数字创建听起来不错的随机单词）手动保存到旧脚本用来自动维护的旧文本文件中。

如何在 AD 中恢复此功能？

我看到 AD 帐户中有“可逆加密”，可能用于需要存储在服务器上的明文密码的质询响应身份验证系统。

是否有显示所有这些密码的脚本？那很好啊。（再次：我相信我的 DC 不会受到损害。）

或者我可以在 AD 用户和计算机中安装一个插件来获取每个新密码的通知并将其存储到文件中吗？

在可以使用 GINA-dll 的客户端上，他们可以获得有关密码的通知并获得明文。

Answer 1

在我看来，您通过使用他们的帐户登录来提供用户支持 - 知道他们的密码？正如您所说，出于多种原因，这是一个非常糟糕的主意。

我知道一些老式用户倾向于喜欢这样，他们只是耸耸肩并要求你远程修复它并给你他们的密码。但只是说不。除了他们自己，没有人应该知道他们的密码——基本原则。

大多数事情可以从另一个用户上下文中修复，你自己的。那些真的不能，并且需要在用户以交互方式登录的情况下完成的，要求用户这样做，并在工作人员通过该用户的帐户修复东西时留下来观察。

远程有 RDP Shadow、远程帮助和类似的交互式解决方案，用户可以控制这些解决方案，无需知道他或她的密码即可帮助解决一些与桌面相关的问题。使用组策略基本上不需要这种行为，因为大多数事情都可以由管理员轻松配置。

如果您让其他人访问其他人的用户帐户 - 您也会失去对系统中用户所做操作的审计跟踪和问责制 - 这很容易超出授权管理员组的范围。

Answer 2

我不太确定我的 DC 是否安全。如果我是攻击者或渗透测试员，无论如何我都不会首先关注您的 DC。我要找你的工作站和服务器。基本攻击向量：

1. 发现域或某些服务（例如 SQL Server 上的 sa 帐户）或漏洞的弱用户名/密码，我可以利用这些漏洞让我获得管理员权限（修补您的系统，伙计们）。
2. 查找该帐户具有管理员权限的系统。
3. 转储 LSA 机密以查找所有服务帐户的用户名/密码。
4. 使用 CacheDump 转储缓存的用户名/密码。
5. 查看其中是否有任何人在任何地方拥有管理员权限。
6. 重复 1-5，直到我获得域管理员帐户。
7. 使用域管理员帐户访问域控制器。
8. 转储域控制器的 SAM。
9. 使用彩虹表破解更多密码，或在必要时离线使用蛮力。

除非你都是 Vista / Windows Server 2008 / Windows 7，否则这是大多数渗透测试者使用的基本攻击模式。这 3 个操作系统打破这种模式的原因是，针对 LSA Secrets 的 DLL 注入攻击尚未针对这些操作系统进行。

尽管如此，您不应该使用可逆加密，而应该禁用 LM 哈希。你想要 NTLM 哈希。而且您不想以明文形式存储这些密码。

Answer 3

你在做什么是一个非常非常糟糕的主意。如果您不希望用户必须管理密码，您可以为 AD 投资一个质询/响应令牌系统，这将花费您最少的钱。

Answer 4

老实说，我不认为你想要这样做的理由是有效的。作为管理员，我从知道用户密码的想法中获得了大量的 heebeejeebees。这是他们的个人领地，你要求他们对你给予极大的信任。除此之外，如果机密数据泄露，您将立即受到怀疑，因为您会知道用户的密码。缺乏可验证的审计跟踪是一个巨大的安全危险信号。规则 1 是“保护自己”，如果这意味着必须接受一些不便，那么就这样吧。

我认为有一些替代解决方案可以完成您想要的操作，而不必走极端，例如知道密码。您是否查看过组策略首选项？你的脚本技能怎么样？使用蛮力方法通常清楚地表明标准方法没有得到最佳使用，所以我认为你最好回溯并重新思考你正在做的事情。

Answer 5

问责制、记录和跟踪。

几年来，我们一直在与管理层斗争。CEO 和总裁多年来拒绝更改他们的密码，7 年多来来来往往的 IT 人员都知道他们的密码。即使您“信任”每个人，对于多个不再是员工的人来说，访问强大的帐户也是非常不安全的。更不用说他们都知道其他人知道密码，并且使用它们是安全的。

我们一遍又一遍地向用户宣讲永远不要分享他们的密码，即使是与我们分享，永远。这是防止“社交黑客”的开始，您的用户中有多少人会将他们的密码提供给打电话说他们是新 IT 人员之一的人？

如果我们绝对需要在用户帐户中做某事，我们会让他们登录并使用猎枪，或者我们更改他们的密码。一旦我们更改了他们的密码，我们将对他们的帐户负责并且他们不再负责，直到我们给他们一个新密码，该帐户标记为用户下次登录时必须更改密码。这会保留日志记录和跟踪。用户可以在互联网上做的所有坏事、非法和不道德的事情。如果他们可以责怪许多知道他们密码的其他人，则可能会产生很多问题。

现在我们正在努力消除所有共享帐户登录，例如共享计算机。如果我们必须拥有一个，该帐户的权限非常有限，并且无法访问互联网。

密码如此重要是有原因的。它们不仅可以保护您的数据，还可以保护您和您的用户等。查找或集思广益示例并不难。在脑海中播放对话。“他们都知道我的密码，其中一个进入我的电脑，阅读了我情妇的电子邮件并告诉我的妻子” 除了安全之外，还有很多可能的隐私考虑。

布赖恩

ps 非常努力地不争论。虽然我没有回答这个问题，但做了社论反对做建议的事情。我还建议不要说这样的话，引用问题 - “编辑：有人真的可以回答这个问题吗？谢谢，我不需要任何审计跟踪，我会知道所有密码，用户无法更改它们，我将继续这样做。这不是为了黑客！”

1. 这将使您从许多公司的系统管理员工作中解脱出来。
2. 像这样的态度也可能影响您未来的任何工作机会。如果我在谷歌上搜索并发现他们提出了这个问题，我会立即取消任何在我们公司申请系统管理员职位的人。
3. 我非常努力地想象什么样的场景需要并支持它。一个 3-4 人的家庭办公室，也许吧。我可以看到这种态度在宗教场景中很普遍，但即便如此，没有人是完美的，也不会犯错误。
4. 如果这是过度争论或贬义，请随时编辑或删除ps