MS14-025: Kerentanan dalam preferensi Kebijakan Grup dapat memungkinkan hak khusus: 13 April 2014

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 2962486
PENDAHULUAN
Microsoft telah meluncurkan buletin keamanan MS14-025. Untuk mempelajari selengkapnya tentang buletin keamanan ini:

Cara mendapatkan bantuan dan dukungan untuk pemutakhiran keamanan

Bantuan untuk menginstal pemutakhiran:Dukungan untuk Pemutakhiran Microsoft

Solusi keamanan bagi profesional TI:TechNet keamanan pemecahan masalah dan dukungan

Membantu melindungi komputer berbasis Windows Windows dari virus dan malware:Solusi virus dan pusat keamanan

Dukungan lokal menurut negara Anda:Dukungan internasional

Informasi lebih lanjut

Masalah yang diketahui dan informasi selengkapnya tentang pemutakhiran keamanan ini

Artikel berikut ini berisi informasi lebih lanjut tentang pembaruan keamanan yang berkaitan dengan versi masing-masing produk. Artikel dapat berisi informasi masalah yang diketahui. Jika demikian, masalah yang diketahui dicantumkan di bawah setiap link artikel.
  • 2928120 MS14-025: Deskripsi tentang pemutakhiran keamanan untuk Windows alat administrasi Server jauh untuk sistem yang memiliki pemutakhiran 2919355 diinstal: 13 April 2014
  • 2961899 MS14-025: Deskripsi tentang pemutakhiran keamanan untuk Windows alat administrasi Server jauh untuk sistem yang tidak memiliki pemutakhiran 2919355 diinstal: 13 April 2014
Preferensi Kebijakan Grup

Gambaran Umum

Preferensi Kebijakan Grup beberapa dapat menyimpan sandi. Fungsionalitas ini telah dihapus karena sandi yang disimpan insecurely. Artikel ini menjelaskan perubahan antarmuka pengguna dan pemecahan masalah apa pun tersedia.

Preferensi Kebijakan Grup berikut ini tidak akan lagi mengizinkan Nama pengguna dan kata sandi disimpan:
  • Peta kandar
  • Pengguna dan grup lokal
  • Jadwal tugas
  • Layanan
  • data sumber
Ini akan mempengaruhi perilaku apa pun yang sudah ada objek Kebijakan Grup (GPO) di lingkungan yang mengandalkan sandi yang terkandung dalam preferensi ini. Ini juga akan mencegah membuat preferensi Kebijakan Grup Baru dengan menggunakan fungsionalitas ini.

Peta Drive, lokal pengguna dan grup, dan layanan, Anda mungkin dapat mencapai tujuan yang sama melalui fungsionalitas yang lebih aman di Windows.

Untuk tugas terjadwal dan data sumber, Anda akan dapat mencapai tujuan yang sama yang tersedia melalui fungsionalitas tidak aman sandi preferensi Kebijakan Grup.
Skenario
Preferensi Kebijakan Grup berikut akan terpengaruh oleh perubahan ini. Preferensi setiap tertutup sebentar dan kemudian secara lebih rinci. Selain itu, sarana kerja yang disediakan yang memungkinkan Anda untuk melakukan tugas-tugas yang sama.
Preferensi yang terpengaruhBerlaku bagi penggunaBerlaku untuk komputer
Manajemen lokal penggunaYaYa
Kandar yang dipetakanYa
Tidak ada
Layanan
Tidak ada
Ya
Jadwal tugas (tingkat atas)YaYa
Jadwal tugas (turun tingkat)YaYa
Segera tugas (tingkat atas)YaYa
Segera tugas (turun tingkat)YaYa
data sumberYaYa

Ringkasan perubahan

  • Bidang sandi di semua terpengaruh preferensi akan dinonaktifkan. Administrator tidak dapat membuat preferensi baru dengan menggunakan kolom sandi tersebut.
  • Kolom username dinonaktifkan di beberapa preferensi.
  • Preferensi yang ada yang berisi sandi tidak diperbarui. Mereka hanya dapat dihapus atau dinonaktifkan, yang sesuai untuk preferensi tertentu.
  • Perilaku untuk menghapus dan menonaktifkan tindakan tidak berubah untuk preferensi.
  • Ketika administrator terbuka preferensi yang berisi atribut CPassword, administrator menerima kotak dialog peringatan berikut ini untuk memberitahukan padanya bantahan terkini. Upaya untuk menyimpan perubahan preferensi baru atau yang ada yang memerlukan atribut CPassword akan memicu kotak dialog yang sama. Hanya menghapus dan menonaktifkan tindakan tidak akan memicu kotak dialog peringatan.

Peringatan keamanan CPassword



Skenario 1: Manajemen lokal pengguna

Manajemen lokal pengguna preferensi sering digunakan untuk membuat administrator lokal yang telah diketahui sandi di komputer. Fitur ini tidak aman karena cara preferensi Kebijakan Grup menyimpan sandi. Oleh karena itu, fungsionalitas ini sudah tidak lagi tersedia. Terpengaruh preferensi berikut ini:
  • Konfigurasi komputer-> Control Panel pengaturan-> lokal pengguna dan grup-> baru-> lokal pengguna
  • Konfigurasi pengguna-> Control Panel pengaturan-> lokal pengguna dan grup-> baru-> lokal pengguna

Perubahan penting

Tindakan: Buat atau mengganti
  • Kolom Nama pengguna, sandi, dan Konfirmasi sandi akan dinonaktifkan.
  • kotak dialog peringatan muncul ketika administrator terbuka atau mencoba untuk menyimpan perubahan pada pilihan yang ada yang berisi sandi.


lokal pengguna - membuat atau mengganti

Tindakan: pemutakhiran
  • Kolom sandi dan Konfirmasi sandi akan dinonaktifkan.
  • Peringatan dialog boxappears ketika administrator terbuka atau mencoba untuk menyimpan perubahan pada pilihan yang ada yang berisi sandi.


lokal pengguna - Update

Tindakan: Hapus
  • Tidak ada perubahan perilaku

Pemecahan masalah

Bagi mereka yang sebelumnya mengandalkan preferensi Kebijakan Grup untuk menetapkan kata sandi administrator lokal, skrip berikut ini tersedia sebagai alternatif CPassword yang aman. Salin dan menyimpan konten ke berkas Windows PowerShell baru, dan kemudian menjalankan skrip seperti yang ditunjukkan di belakangnya. CONTOH bagian.

Microsoft menyediakan pemrogaman hanya untuk ilustrasi, tanpa garansi baik tersurat maupun tersirat. Ini mencakup, namun tidak terbatas pada, garansi yang tersirat dapat diperjualbelikan atau kesesuaian untuk tujuan tertentu. Artikel ini menganggap bahwa Anda sudah terbiasa dengan bahasa pemrogram yang muncul dan alat-alat yang digunakan untuk membuat dan prosedur debug. Teknisi dukungan Microsoft dapat membantu menjelaskan fungsionalitas prosedur tertentu. Namun, mereka tidak akan mengubah contoh tersebut untuk memberikan fungsionalitas tambahan atau menyusun prosedur untuk memenuhi persyaratan khusus Anda.

 function Invoke-PasswordRoll{<#.SYNOPSISThis script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPasswordFunction: Invoke-PasswordRollAuthor: MicrosoftVersion: 1.0.DESCRIPTIONThis script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPassword.PARAMETER ComputerNameAn array of computers to run the script against using PowerShell remoting..PARAMETER LocalAccountsAn array of local accounts whose password should be changed..PARAMETER TsvFileNameThe file to output the username/password/server combinations to..PARAMETER EncryptionKeyA password to encrypt the TSV file with. Uses AES encryption. Only the passwords stored in the TSV file will be encrypted, the username and servername will be clear-text..PARAMETER PasswordLengthThe length of the passwords which will be randomly generated for local accounts..PARAMETER NoEncryptionDo not encrypt the account passwords stored in the TSV file. This will result in clear-text passwords being written to disk.	.EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileInvoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator","CustomLocalAdmin") -TsvFileName "LocalAdminCredentials.tsv" -EncryptionKey "Password1"Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" and/or "CustomLocalAdmin" are present on the system, their password is changedto a randomly generated password of length 20 (the default). The username/password/server combinations are stored in LocalAdminCredentials.tsv, and the account passwords are AES encrypted using the password "Password1"..EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileInvoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator") -TsvFileName "LocalAdminCredentials.tsv" -NoEncryption -PasswordLength 40Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" is present on the system, its password is changed to a random generatedpassword of length 40. The username/password/server combinations are stored in LocalAdminCredentials.tsv unencrypted..NOTESRequirements: -PowerShellv2 or above must be installed-PowerShell remoting must be enabled on all systems the script will be run againstScript behavior:-If a local account is present on the system, but not specified in the LocalAccounts parameter, the script will write a warning to the screen to alert you to the presence of this local account. The script will continue running when this happens.-If a local account is specified in the LocalAccounts parameter, but the account does not exist on the computer, nothing will happen (an account will NOT be created).-The function ConvertTo-CleartextPassword, contained in this file, can be used to decrypt passwords that are stored encrypted in the TSV file.-If a server specified in ComputerName cannot be connected to, PowerShell will output an error message.-Microsoft advises companies to regularly roll all local and domain account passwords.#>    [CmdletBinding(DefaultParameterSetName="Encryption")]    Param(        [Parameter(Mandatory=$true)]        [String[]]        $ComputerName,        [Parameter(Mandatory=$true)]        [String[]]        $LocalAccounts,        [Parameter(Mandatory=$true)]        [String]        $TsvFileName,        [Parameter(ParameterSetName="Encryption", Mandatory=$true)]        [String]        $EncryptionKey,        [Parameter()]        [ValidateRange(20,120)]        [Int]        $PasswordLength = 20,        [Parameter(ParameterSetName="NoEncryption", Mandatory=$true)]        [Switch]        $NoEncryption    )    #Load any needed .net classes    Add-Type -AssemblyName "System.Web" -ErrorAction Stop    #This is the scriptblock that will be executed on every computer specified in ComputerName    $RemoteRollScript = {        Param(            [Parameter(Mandatory=$true, Position=1)]            [String[]]            $Passwords,            [Parameter(Mandatory=$true, Position=2)]            [String[]]            $LocalAccounts,            #This is here so I can record what the server name that the script connected to was, sometimes the DNS records get messed up, it can be nice to have this.            [Parameter(Mandatory=$true, Position=3)]            [String]            $TargettedServerName        )        $LocalUsers = Get-WmiObject Win32_UserAccount -Filter "LocalAccount=true" | Foreach {$_.Name}        #Check if the computer has any local user accounts whose passwords are not going to be rolled by this script        foreach ($User in $LocalUsers)        {            if ($LocalAccounts -inotcontains $User)            {                Write-Warning "Server: '$($TargettedServerName)' has a local account '$($User)' whos password is NOT being changed by this script"            }        }        #For every local account specified that exists on this server, change the password        $PasswordIndex = 0        foreach ($LocalAdmin in $LocalAccounts)        {            $Password = $Passwords[$PasswordIndex]            if ($LocalUsers -icontains $LocalAdmin)            {                try                {                    $objUser = [ADSI]"WinNT://localhost/$($LocalAdmin), user"                    $objUser.psbase.Invoke("SetPassword", $Password)                    $Properties = @{                        TargettedServerName = $TargettedServerName                        Username =  $LocalAdmin                        Password = $Password                        RealServerName = $env:computername                    }                    $ReturnData = New-Object PSObject -Property $Properties                    Write-Output $ReturnData                }                catch                {                    Write-Error "Error changing password for user:$($LocalAdmin) on server:$($TargettedServerName)"                }            }            $PasswordIndex++        }    }    #Generate the password on the client running this script, not on the remote machine. System.Web.Security isn't available in the .NET Client profile. Making this call    #    on the client running the script ensures only 1 computer needs the full .NET runtime installed (as opposed to every system having the password rolled).    function Create-RandomPassword    {        Param(            [Parameter(Mandatory=$true)]            [ValidateRange(20,120)]            [Int]            $PasswordLength        )        $Password = [System.Web.Security.Membership]::GeneratePassword($PasswordLength, $PasswordLength / 4)        #This should never fail, but I'm putting a sanity check here anyways        if ($Password.Length -ne $PasswordLength)        {            throw new Exception("Password returned by GeneratePassword is not the same length as required. Required length: $($PasswordLength). Generated length: $($Password.Length)")        }        return $Password    }    #Main functionality - Generate a password and remote in to machines to change the password of local accounts specified    if ($PsCmdlet.ParameterSetName -ieq "Encryption")    {        try        {            $Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider            $SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))        }        catch        {            Write-Error "Error creating TSV encryption key" -ErrorAction Stop        }    }    foreach ($Computer in $ComputerName)    {        #Need to generate 1 password for each account that could be changed        $Passwords = @()        for ($i = 0; $i -lt $LocalAccounts.Length; $i++)        {            $Passwords += Create-RandomPassword -PasswordLength $PasswordLength        }        Write-Output "Connecting to server '$($Computer)' to roll specified local admin passwords"        $Result = Invoke-Command -ScriptBlock $RemoteRollScript -ArgumentList @($Passwords, $LocalAccounts, $Computer) -ComputerName $Computer        #If encryption is being used, encrypt the password with the user supplied key prior to writing to disk        if ($Result -ne $null)        {            if ($PsCmdlet.ParameterSetName -ieq "NoEncryption")            {                $Result | Select-Object Username,Password,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation            }            else            {                #Filters out $null entries returned                $Result = $Result | Select-Object Username,Password,TargettedServerName,RealServerName                foreach ($Record in $Result)                {                    $PasswordSecureString = ConvertTo-SecureString -AsPlainText -Force -String ($Record.Password)                    $Record | Add-Member -MemberType NoteProperty -Name EncryptedPassword -Value (ConvertFrom-SecureString -Key $SecureStringKey -SecureString $PasswordSecureString)                    $Record.PSObject.Properties.Remove("Password")                    $Record | Select-Object Username,EncryptedPassword,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation                }            }        }    }}function ConvertTo-CleartextPassword{<#.SYNOPSISThis function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll.Function: ConvertTo-CleartextPasswordAuthor: MicrosoftVersion: 1.0.DESCRIPTIONThis function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll..PARAMETER EncryptedPasswordThe encrypted password that was stored in a TSV file..PARAMETER EncryptionKeyThe password used to do the encryption..EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileConvertTo-CleartextPassword -EncryptionKey "Password1" -EncryptedPassword 76492d1116743f0423413b16050a5345MgB8AGcAZgBaAHUAaQBwADAAQgB2AGgAcABNADMASwBaAFoAQQBzADEAeABjAEEAPQA9AHwAZgBiAGYAMAA1ADYANgA2ADEANwBkADQAZgAwADMANABjAGUAZQAxAGIAMABiADkANgBiADkAMAA4ADcANwBhADMAYQA3AGYAOABkADcAMQA5ADQAMwBmAGYANQBhADEAYQBjADcANABkADIANgBhADUANwBlADgAMAAyADQANgA1ADIAOQA0AGMAZQA0ADEAMwAzADcANQAyADUANAAzADYAMAA1AGEANgAzADEAMQA5ADAAYwBmADQAZAA2AGQA"Decrypts the encrypted password which was stored in the TSV file.#>    Param(        [Parameter(Mandatory=$true)]        [String]        $EncryptedPassword,        [Parameter(Mandatory=$true)]        [String]        $EncryptionKey    )    $Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider    $SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))    [SecureString]$SecureStringPassword = ConvertTo-SecureString -String $EncryptedPassword -Key $SecureStringKey    Write-Output ([System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($SecureStringPassword)))}
Administrator dapat menambahkan akun administrator lokal ke komputer dengan membuat grup Active Directory dan menambahkannya ke grup administrator lokal melalui Kebijakan Grup preferensi-> grup lokal. Tindakan ini tidak cache kredensial. kotak dialog menyerupai berikut ini. Pemecahan masalah ini memerlukan sambungan ke Layanan Domain direktori aktif setelah pengguna login onby menggunakan kredensial tersebut.


Grup lokal - pemecahan masalah


Skenario 2: Kandar yang dipetakan

Administrator menggunakan kandar peta mengalokasikan lokasi jaringan untuk pengguna. Fitur perlindungan sandi digunakan untuk memastikan bahwa resmi akses ke kandar. Terpengaruh preferensi berikut ini:
  • Konfigurasi pengguna-> Windows pengaturan-> peta kandar-> baru-> kandar yang dipetakan

Perubahan penting

Tindakan: Membuat, pemutakhiran, atau mengganti
  • Kolom Nama pengguna, sandidan konfirmasi sandi akan dinonaktifkan.

Kandar yang dipetakan - membuat/Update/ganti

Tindakan: Hapus
  • Tidak ada perubahan perilaku

Pemecahan masalah

Alih-alih menggunakan sandi metode autentikasi, Anda dapat menggunakan Penjelajah Windows untuk mengelola izin berbagi dan mengalokasikan hak pengguna. Anda dapat menggunakan objek direktori aktif ke control izin ke folder.


Skenario 3: Layanan

Anda dapat menggunakan layanan preferensi untuk mengubah properti Layanan sedemikian rupa sehingga berjalan dalam konteks selain konteks keamanan aslinya. Terpengaruh preferensi berikut ini:
  • Konfigurasi komputer-> setelan Panel kontrol-> layanan-> baru-> Layanan

Perubahan penting

Mulai: Tidak ada perubahan, otomatis atau Manual
  • Bidang sandi dan konfirmasi sandi akan dinonaktifkan.
  • Administrator dapat menggunakan hanya akun internal.

Layanan - tidak berubah/otomatis/Manual

Mulai: menonaktifkan
  • Tidak ada perubahan perilaku
kotak dialog yang baru
  • Administrator yang mencoba menggunakan non-dibangun-in pengguna untuk akun ini "menerima peringatan berikut:

Peringatan terhadap non-builtin pengguna


Pemecahan masalah

Layanan masih dapat menjalankan sebagai akun sistem lokal. Izin Layanan dapat diubah seperti yang didokumentasikan di artikel berikut ini di Pangkalan Pengetahuan Microsoft:
256345 Cara mengkonfigurasi Kebijakan Grup pengaturan untuk mengatur keamanan untuk layanan sistem

Catatan
jika layanan yang Anda ingin mengkonfigurasi tidak ada, Anda harus mengkonfigurasi pengaturan di komputer yang menjalankan layanan.


Skenario 4: Tugas terjadwal dan segera (tingkat atas)

Ini digunakan untuk menjalankan tugas terjadwal dalam konteks keamanan tertentu. Kemampuan untuk menyimpan kredensial untuk jadwal tugas untuk menjalankan sebagai pengguna sembarang saat pengguna tidak masuk tidak lagi tersedia. Preferensi berikut ini akan terpengaruh. (Berhati-hatilah bahwa pada beberapa platform "setidaknya Windows 7" diganti dengan "Windows Vista dan yang lebih baru.")
  • Konfigurasi komputer-> setelan Panel kontrol-> tugas terjadwal-> baru-> jadwal tugas (setidaknya Windows 7)
  • Konfigurasi komputer-> setelan Panel kontrol-> tugas terjadwal-> baru-> segera tugas (setidaknya Windows 7)
  • Konfigurasi pengguna-> setelan Panel kontrol-> tugas terjadwal-> baru-> jadwal tugas (setidaknya Windows 7)
  • Konfigurasi pengguna-> setelan Panel kontrol-> tugas terjadwal-> baru-> segera tugas (setidaknya Windows 7)

Perubahan penting

Tindakan: membuat, pemutakhiran, atau mengganti
  • Apabila Anda memilih opsi Jalankan Apakah pengguna masuk atau tidak , kotak dialog tidak meminta kredensial administrator.
  • kotak centang tidak menyimpan sandi dinonaktifkan. secara asali, kotak juga diperiksa.

Tugas baru terjadwal atau segera (tingkat atas)

Tindakan: Hapus

Tidak ada perubahan perilaku

Pemecahan masalah

Untuk "tugas terjadwal (setidaknya Windows 7)" dan "segera tugas (setidaknya Windows 7)" tugas, administrator dapat menggunakan akun pengguna khusus saat log masuk pengguna tertentu. Atau, mereka hanya dapat memiliki akses ke sumber daya lokal sebagai pengguna. Tasksstillcan ini berjalan dalam konteks Layanan lokal.



Skenario 5: Tugas terjadwal dan segera (turun tingkat)

Ini adalah versi turun tingkat preferensi yang digunakan untuk menjalankan tugas terjadwal dalam konteks keamanan tertentu. Kemampuan untuk menyimpan kredensial untuk jadwal tugas untuk menjalankan sebagai pengguna sembarang saat pengguna tidak masuk tidak lagi tersedia. Terpengaruh preferensi berikut ini:
  • Konfigurasi komputer-> setelan Panel kontrol-> jadwal tugas-> baru-> tugas terjadwal
  • Konfigurasi komputer-> setelan Panel kontrol-> jadwal tugas-> baru-> segera tugas (Windows XP)
  • Konfigurasi pengguna-> setelan Panel kontrol-> jadwal tugas-> baru-> tugas terjadwal
  • Konfigurasi pengguna-> setelan Panel kontrol-> jadwal tugas-> baru-> segera tugas (Windows XP)

Perubahan penting

Tindakan: Membuat, pemutakhiran, atau mengganti
  • kotak centang Jalankan sebagai dinonaktifkan. Oleh karena itu, Nama pengguna, sandi, dan Confirm Password bidang semua dinonaktifkan.

Tugas baru - membuat/Update/ganti (turun tingkat)

Tindakan: Hapus

Tidak ada perubahan perilaku

Pemecahan masalah

"Tugas terjadwal" dan "Segera tugas (Windows XP)" item, jadwal tugas berjalan dengan menggunakan izin yang saat ini tersedia untuk layanan lokal.


Skenario 6: data sumber

Preferensi data sumber yang digunakan untuk tautan langsung data sumber dengan komputer atau pengguna. Fitur ini tidak lagi menyimpan kredensial untuk mengaktifkan akses ke data sumber yang dilindungi dengan sandi. Terpengaruh preferensi berikut ini:
  • Konfigurasi komputer-> setelan Panel kontrol-> data sumber
  • Konfigurasi pengguna-> setelan Panel kontrol-> data sumber

Perubahan penting

Tindakan: membuat, pemutakhiran, atau mengganti
  • Nama pengguna, sandi, dan Confirm Password bidang dinonaktifkan:

data sumber - membuat/Update/ganti

Tindakan: Hapus
  • Tidak ada perubahan perilaku

Pemecahan masalah

Tidak ada penyelesaian tersedia. Preferensi ini tidak lagi menyimpan kredensial untuk mengizinkan akses ke data sumber yang dilindungi dengan sandi.


Bantahan CPassword

Menghapus CPassword

Skrip Windows PowerShell yang disertakan dalam artikel Pangkalan Pengetahuan Microsoft ini mendeteksi Apakah domain berisi preferensi Kebijakan Grup apa pun yang mungkin menggunakan CPassword. Apabila CPassword XML terdeteksi di preferensi tertentu, hal itu akan ditampilkan dalam daftar ini.


Mendeteksi CPassword preferensi

Skrip ini harus dijalankan dari direktori lokal pada pengendali domain yang ingin Anda Bersihkan. Salin dan menyimpan konten ke berkas Windows PowerShell baru, menentukan kandar sistem, dan kemudian menjalankan skrip seperti yang ditunjukkan dalam penggunaan berikut ini.

 <#.SYNOPSISGroup Policy objects in your domain can have preferences that store passwords for different tasks, such as the following:    1. Data Sources    2. Drive Maps    3. Local Users    4. Scheduled Tasks (both XP and up-level)    5. ServicesThese passwords are stored in SYSVOL as part of GP preferences and are not secure because of weak encryption (32-byte AES). Therefore, we recommend that you not deploy such preferences in your domain environment and remove any such existing preferences. This script is to help administrator find GP Preferences in their domain's SYSVOL that contains passwords. .DESCRIPTIONThis script should be run on a DC or a client computer that is installed with RSAT to print all the preferences that contain password with information such as GPO, Preference Name, GPEdit path under which this preference is defined.After you have a list of affected preferences, these preferences can be removed by using the editor in the Group Policy Management Console. .SYNTAXGet-SettingsWithCPassword.ps1 [-Path  <String>] .EXAMPLEGet-SettingsWithCPassword.ps1 -Path %WinDir%\SYSVOL\domainGet-SettingsWithCPassword.ps1 -Path  <GPO Backup Folder Path> .NOTESIf Group Policy PS module is not found the output will contain GPO GUIDs instead of GPO names. You can either run this script on a domain controller or rerun the script on the client after you have installed RSAT and enabled the Group Policy module.Or, you can use GPO GUIDs to obtain GPO names by using the Get-GPO cmdlet. .LINKhttp://go.microsoft.com/fwlink/?LinkID=390507 #>#----------------------------------------------------------------------------------------------------------------# Input parameters#--------------------------------------------------------------------------------------------------------------param(    [string]$Path = $(throw "-Path is required.") # Directory path where GPPs are located. )#---------------------------------------------------------------------------------------------------------------$isGPModuleAvailable = $false$impactedPrefs = { "Groups.xml", "ScheduledTasks.xml","Services.xml", "DataSources.xml", "Drives.xml" }#----------------------------------------------------------------------------------------------------------------# import Group olicy module if available#----------------------------------------------------------------------------------------------------------------if (-not (Get-Module -name "GroupPolicy")){   if (Get-Module -ListAvailable |          Where-Object { $_.Name -ieq "GroupPolicy" })    {        $isGPModuleAvailable = $true        Import-Module "GroupPolicy"    }    else    {        Write-Warning "Unable to import Group Policy module for PowerShell. Therefore, GPO guids will be reported.                        Run this script on DC to obtain the GPO names, or use the Get-GPO cmdlet (on DC) to obtain the GPO name from GPO guid."    }}else{    $isGPModuleAvailable = $true}Function Enum-SettingsWithCpassword ( [string]$sysvolLocation ){    # GPMC tree paths    $commonPath = " -> Preferences -> Control Panel Settings -> "    $driveMapPath = " -> Preferences -> Windows Settings -> "        # Recursively obtain all the xml files within the SYVOL location    $impactedXmls = Get-ChildItem $sysvolLocation -Recurse -Filter "*.xml" | Where-Object { $impactedPrefs -cmatch $_.Name }            # Each xml file contains multiple preferences. Iterate through each preference to check whether it    # contains cpassword attribute and display it.    foreach ( $file in $impactedXmls )    {        $fileFullPath = $file.FullName                # Set GPP category. If file is located under Machine folder in SYSVOL        # the setting is defined under computer configuration otherwise the         # setting is a to user configuration          if ( $fileFullPath.Contains("Machine") )        {            $category = "Computer Configuration"        }        elseif ( $fileFullPath.Contains("User") )        {            $category = "User Configuration"        }        else        {            $category = "Unknown"        }        # Obtain file content as XML        try        {            [xml]$xmlFile = get-content $fileFullPath -ErrorAction Continue        }        catch [Exception]{            Write-Host $_.Exception.Message        }        if ($xmlFile -eq $null)        {            continue        }        switch ( $file.BaseName )        {            Groups             {                 $gppWithCpassword = $xmlFile.SelectNodes("Groups/User") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Local Users"            }            ScheduledTasks            {                $gppWithCpassword  = $xmlFile.SelectNodes("ScheduledTasks/*") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Scheduled Tasks"            }            DataSources            {                $gppWithCpassword = $xmlFile.SelectNodes("DataSources/DataSource") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Data sources"            }            Drives            {                $gppWithCpassword = $xmlFile.SelectNodes("Drives/Drive") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Drive Maps"            }            Services            {                $gppWithCpassword = $xmlFile.SelectNodes("NTServices/NTService") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Services"            }            default            {   # clear gppWithCpassword and preferenceType for next item.                try                {                    Clear-Variable -Name gppWithCpassword -ErrorAction SilentlyContinue                    Clear-Variable -Name preferenceType -ErrorAction SilentlyContinue                }                catch [Exception]{}            }        }        if ($gppWithCpassword -ne $null)        {            # Build GPO name from GUID extracted from filePath             $guidRegex = [regex]"\{(.*)\}"            $match = $guidRegex.match($fileFullPath)            if ($match.Success)            {               $gpoGuid = $match.groups[1].value               $gpoName = $gpoGuid            }            else            {               $gpoName = "Unknown"            }            if($isGPModuleAvailable -eq $true)            {                try                 {                       $gpoInfo = Get-GPO -Guid $gpoGuid -ErrorAction Continue                    $gpoName = $gpoInfo.DisplayName                }                catch [Exception] {                    Write-Host $_.Exception.Message                }            }            # display prefrences that contain cpassword            foreach ( $gpp in $gppWithCpassword )            {                if ( $preferenceType -eq "Drive Maps" )                {                    $prefLocation = $category + $driveMapPath + $preferenceType                }                else                {                    $prefLocation = $category + $commonPath + $preferenceType                }                $obj = New-Object -typeName PSObject                 $obj | Add-Member –membertype NoteProperty –name GPOName    –value ($gpoName)      –passthru |                       Add-Member -MemberType NoteProperty -name Preference -value ($gpp.Name)     -passthru |                       Add-Member -MemberType NoteProperty -name Path       -value ($prefLocation)                Write-Output $obj             }        } # end if $gppWithCpassword    } # end foreach $file} # end functions Enum-PoliciesWithCpassword#-----------------------------------------------------------------------------------# Check whether Path is valid. Enumerate all settings that contain cpassword. #-----------------------------------------------------------------------------------if (Test-Path $Path ){    Enum-SettingsWithCpassword $Path}else{    Write-Warning "No such directory: $Path"}  


Contoh penggunaan (menganggap bahwa sistem drive C)

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | Format-List

Catatan Perhatikan bahwa Anda juga dapat menargetkan GPO setiap cadangan untuk garis jatuh berseri Alih-alih domain.

Skrip deteksi menghasilkan daftar yang menyerupai berikut ini:

Masukkan elemen bagan

Untuk daftar lagi, pertimbangkan untuk menyimpan hasil ke file:

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | ConvertTo-Html > gpps.html

Menghapus preferensi CPassword

Untuk menghapus preferensi yang berisi CPassword data, kami menyarankan agar Anda menggunakan konsol manajemen Kebijakan Grup (GPMC) pada pengendali domain atau dari klien yang memiliki alat administrasi Server jauh diinstal. Anda dapat menghapus preferensi apa pun dalam lima langkah pada konsol ini. Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Di GPMC, buka preferensi yang berisi CPassword data.
  2. Mengubah tindakan untuk menghapus atau menonaktifkan, sebagai dapat diterapkan untuk preferensi.
  3. Klik OK untuk menyimpan perubahan.
  4. Tunggu sampai satu atau dua Lingkaran Berkelanjutan penyegaran Kebijakan Grup untuk mengizinkan perubahan dialihkan ke klien.
  5. Setelah perubahan yang diterapkan pada semua klien, Hapus preferensi.
  6. Ulangi langkah 1 sampai 5 yang diperlukan untuk Bersihkan seluruh lingkungan. Apabila skrip deteksi gulung balik hasil nol, Anda telah selesai.

Informasi berkas hash

Nama fileSHA1 hashSha256 hash
Windows6.0-KB2928120-ia64.msuB2A74305CB56191774BFCF9FCDEAA983B26DC9A6DCE8C0F9CEB97DBF1F7B9BAF76458B3770EF01C0EDC581621BC8C3B2C7FD14E7
Windows6.0-KB2928120-x64.msu386457497682A2FB80BC93346D85A9C1BC38FBF71AF67EB12614F37F4AC327E7B5767AFA085FE676F6E81F0CED95D20393A1D38D
Windows6.0-KB2928120-x86.msu42FF283781CEC9CE34EBF459CA1EFE011D5132C3016D7E9DBBC5E487E397BE0147B590CFBBB5E83795B997894870EC10171E16D4
Windows6.1 KB2928120 ia64.msu5C2196832EC94B99AAF9B074D3938525B72196909958FA58134F55487521243AD9740BEE0AC210AC290D45C8322E424B3E5EBF16
Windows6.1-KB2928120-x64.msuEA5332F4E289DC799611EAB8E3EE2E86B7880A4B417A2BA34F8FD367556812197E2395ED40D8B394F9224CDCBE8AB3939795EC2A
Windows6.1-KB2928120-x86.msu7B7B6EE24CD8BE1AB3479F9E1CF9C98982C8BAB1603206D44815EF2DC262016ED13D6569BE13D06E2C6029FB22621027788B8095
Windows8-RT-KB2928120-x64.msuE18FC05B4CCA0E195E62FF0AE534BA39511A8593FCAED97BF1D61F60802D397350380FADED71AED64435D3E9EAA4C0468D80141E
Windows8-RT-KB2928120-x86.msuA5DFB34F3B9EAD9FA78C67DFC7ACACFA2FBEAC0B7F00A72D8A15EB2CA70F7146A8014E39A71CFF5E39596F379ACD883239DABD41
Windows8.1-KB2928120-x64.msuA07FF14EED24F3241D508C50E869540915134BB46641B1A9C95A7E4F0D5A247B9F488887AC94550B7F1D7B1198D5BCBA92F7A753
Windows8.1-KB2928120-x86.msuDE84667EC79CBA2006892452660EB99580D27306468EE4FA3A22DDE61D85FD3A9D0583F504105DF2F8256539051BC0B1EB713E9C
Windows8.1-KB2961899-x64.msu10BAE807DB158978BCD5D8A7862BC6B3EF20038BEC26618E23D9278FC1F02CA1F13BB289E1C6C4E0C8DA5D22E1D9CDA0DA8AFF51
Windows8.1-KB2961899-x86.msu230C64447CC6E4AB3AD7B4D4655B8D8CEFBFBE98E3FAD567AB6CA616E42873D3623A777185BE061232B952938A8846A974FFA7AF
pembaruan security_patch security_update keamanan bug kesalahan kerentanan berbahaya penyerang eksploitasi registri tidak diautentikasi buffer overrun overflow specially-formed lingkup specially-crafted penyangkalan Layanan DoS TSE

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 2962486 - Tinjauan Terakhir: 10/01/2015 18:38:00 - Revisi: 2.0

Windows RT 8.1, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmt KB2962486 KbMtid
Tanggapan