Еще раз про пароли

zamokНикогда не питал иллюзий относительно сохранности паролей и надежности методик их шифрования :)

Если было однажды зашифровано, то методика расшифровки всегда найдется.

Это я так. К слову…

Не так давно, на одном из проектов, пришлось восстанавливать пароли пользователя Administrator, назначенный с помощью Group Policy Preferences, зашифрованные в файлах groups.xml. Использовался старый скрипт, написанный на основе вот этой статьи.

Результатом народ был немного удивлен с какой простотой были расшифрованы 25-символьные пароли. Местный админ, совместно с безопасником пошел чесать затылок и думать над жизнью.

Примечание: Через GPP были назначены пароли админов для всех серверов (хотя в страшном сне сложно предположить зачем так было сделано), все пользователи имели доступ к политикам на чтение. При анализе файлов за 10 минут были получены пароли администраторов на большинстве продуктивных систем, а на следующий день, когда все схватились за голову, выявленные пользователи были заблокированы и частично удалены.

Но на днях набрел на заметку, которая решает задачу более элегантно и просто.

Примечание: На всякий случай, дисклаймер в виде предупреждение что то что выкладывается не может быть использовано в корыстных целях, только для саморазвития и самообразования…

На всякий пожарный, привожу листинг скрипта в виде txt-файла.

PS. Для многих предложенная методика не является новинкой, так же как и ранее опубликованная ранее, но я надеюсь что обе публикации помогут избежать ошибок описанных выше.


Информация об авторе

no
image
Сергей Мариничев.
Вы можете присоединиться ко мне в Facebook или в Twitter.

Если Вам понравилась статья, то вы можете подписаться на RSS.
А также бесплатно подписаться по E-mail и получать актуальную информацию в числе первых.

Получать обновления на email

Вы можете оставить комментарий.

12 Комментариев »

 
  • 1# Vitt (1 комм.):

    А существует ли вообще безопасный централизованный способ установки паролей локальных админов?
    Раньше использовал свой велосипед — прямую запись NTLM-хеша через dll инъекцию в lsass. Соответственно пароль в политиках не хранится, хранится только его хеш.
    Но с обретением популярности pass-the-hash понимаю, что и хеш хранить открытым текстом не хорошо.

      Цитировать

    • 2# Сергей Мариничев (1138 комм.):

      Хэши защитить никак. В любом из сценариев их можно получить, а если не удается то всегда можно использовать PTH.

      Поэтому надо минимизировать полномочия тех учетных записей которые входят в «зону риска», а еще правильнее из отключать т.е. назначать каким либо методом пароли только на отключенных дефолтовых админов.

      В случае использования GPP можно перестраховаться методом выдачи чтения GPO только компьютерам которые будут политику применять.

        Цитировать

      • 3# equinox (3 комм.):

        Спасибо за статью. Только что проверил в рабочем домене — пароль локального админа ставится при помощи GPP на машины (пользователи ее не видят), но по сети есть доступ в заветный каталог с файлом groups.xml :( Убрал доступ для «Прошедших проверку» на чтение, заменил на «Компьютеры домена». А так да, пароль мне показало сразу — очень обескураживает. Есть, есть еще гайки недозавинченные!

          Цитировать

      • 4# Сергей Мариничев (1138 комм.):

        Дык если известен ключ шифрования то наверняка расшифровать проблемы нет :)

          Цитировать

  • 5# Вадим (3 комм.):

    Всем привет. Надо ли убирать доступ для “Прошедших проверку” на чтение? Почему изначально-то такие права стоят?? И что делать с папкой scripts, там все скрипты лежат..? Там есть скрипты, которые из под пользователей запускаются…

      Цитировать

  • 8# Кино любитель (1 комм.):

    Ох, уж эти пароли. Лучше конечно все их держать в голове.

      Цитировать

  • 9# Thateld (2 комм.):

    ничего не сохранить…от хоть убейся — нет надежной защиты))

      Цитировать

  • 10# Андрей Вахитов (41 комм.):

    Может, тогда пароль каким-нибудь скриптом или утилитой менять? Тот же psadmin (вроде бы) из пакета PSTools…

      Цитировать

 

Добавить комментарий

XHTML: Вы можете использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>