MS14-025: Grupės strategijos nuostatos pažeidžiamumas gali sudaryti didesnių teisių suteikimas: 2014 m. gegužės 13

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 2962486
ĮVADAS
Microsoft išleido saugos biuletenį MS14-025. Norėdami daugiau sužinoti apie šį saugos biuletenį:

Kaip gauti šio saugos naujinimo žinyną ir palaikymą

Pagalba diegiant naujinimus:Microsoft Update palaikymas

Saugos sprendimai IT profesionalams:TechNet saugos trikčių šalinimas ir palaikymas

Apsaugoti jūsų kompiuterio Windows Windows nuo virusų ir kenkėjiškų programų:Apsaugos nuo virusų sprendimų ir saugos centras

Vietos palaikymas pagal jūsų šalyje:Tarptautinis palaikymas

Daugiau informacijos

Žinomos problemos ir daugiau informacijos apie šį saugos naujinimą

Šie straipsniai yra daugiau informacijos apie šį saugos naujinimą, kiek jis susijęs su atskirų produkto versijos. Straipsniai gali būti žinomas informacijos. Jei taip ir yra, žinoma problema yra nurodytas kiekvieno straipsnio saitą.
  • 2928120 MS14-025: Naujinimo aprašas saugos naujinimo Windows nuotolinio serverio administravimo įrankiai sistemoms, kuriose yra įdiegta 2919355: 2014 m. gegužės 13
  • 2961899 MS14-025: Naujinimo aprašas saugos naujinimo Windows nuotolinio serverio administravimo įrankiai sistemoms, kuriose įdiegta 2919355: 2014 m. gegužės 13
Grupės strategijos nuostatos

Apžvalga

Kai kurios grupės strategijos nuostatos gali saugoti slaptažodį. Ši funkcija yra pašalinama, nes slaptažodis buvo išsaugotas insecurely. Šiame straipsnyje aprašoma vartotojo sąsajos pakeitimai ir bet galima apeiti.

Šios grupės strategijos nuostatos leis daugiau vartotojų vardai ir slaptažodžiai turi būti saugomi:
  • Disko žemėlapiai
  • Vietiniai vartotojai ir grupės
  • Suplanuotos užduotys
  • Tarnybos
  • Duomenų šaltinių
Tai turės įtakos veikimo visus esamus grupės strategijos objektus (GPO) savo aplinkoje, pagrįstos slaptažodžius, esantys šių nuostatų. Taip pat padės išvengti, sukurti naują grupės strategijos nuostatos, naudodami šią funkciją.

Drive žemėlapiai, vietiniai vartotojai ir grupės, ir paslaugas, galbūt galėsite pasiekti panašių tikslų per Windows funkcija, saugesnis.

Planuojamos ir duomenų šaltinių, jūs negalėsite pasiekti patį tikslus, kuriuos buvo galima įsigyti grupės strategijos nuostatos slaptažodžių nesaugią funkcija.
Scenarijai
Šis pakeitimas turės įtakos šios grupės strategijos nuostatos. Kiekvienas nuostatų galioja trumpai ir tada išsamiau. Be to, problemos sprendimo būdai yra numatyta, kad galėtumėte atlikti tas pačias užduotis.
Susijusio nuostatųTaikoma vartotojuiTaikomas kompiuteris
Vietinių vartotojų valdymasTaipTaip
Susietieji diskaiTaip
Ne
Tarnybos
Ne
Taip
Suplanuotas užduotis (iki lygio)TaipTaip
Suplanuotas užduotis (žemesnio lygio)TaipTaip
Tiesioginiai užduotis (iki lygio)TaipTaip
Tiesioginiai užduotis (žemesnio lygio)TaipTaip
Duomenų šaltiniųTaipTaip

Keitimų suvestinė

  • Slaptažodžio laukų visus susijusio nuostatos yra išjungti. Administratoriai negalite sukurti naują nuostatos naudodami šiuos laukus slaptažodį.
  • Vartotojo vardas laukas blokuojamas, kai kurios nuostatos.
  • Negalima atnaujinti esamą nuostatas, kuriuose yra slaptažodį. Jie gali būti panaikinti arba išjungti, atsižvelgdami į konkrečius pirmenybės.
  • Veikimo naikinti ir išjunkite veiksmų nepasikeitė, nuostatų.
  • Kai administratorius atsidarys jokių nuostatų, kuriame yra CPassword atributas, administratorius gauna šį įspėjimo dialogo pranešti savo dabartinių nuteistųjų. Bando įrašyti keitimus naujų arba esamų nuostatų, kuriuos reikia CPassword atributo bus inicijuotas tą patį dialogo lange. Tik panaikinti ir išjungti veiksmus bus paleisti įspėjimo dialogo langai.

CPassword saugos įspėjimas



1 scenarijus: Vietinių vartotojų valdymas

Vietinio vartotojo valdymo nuostatų dažnai naudojamas sukurti vietinių administratorių, kurie žinoma slaptažodį kompiuteryje. Ši funkcija yra nesaugios dėl taip, kad grupės strategijos nuostatos saugo slaptažodžius. Todėl ši funkcija nėra prieinamas. Šias nuostatas turi įtakos:
  • Kompiuterio konfigūracija-> valdymo skydo parametrai-> vietiniai vartotojai ir grupės-> naują vietinio vartotojo->
  • Vartotojo konfigūracija-> valdymo skydo parametrai-> vietiniai vartotojai ir grupės-> naują vietinio vartotojo->

Svarbių pakeitimų

Veiksmas: sukurti ar pakeisti
  • Vartotojo vardas, Slaptažodisir Patvirtinkite slaptažodį laukai yra išjungti.
  • Įspėjimo dialogo langas pasirodo, kai administratorius atidaromas arba bando įrašyti pakeitimus į esamą nuostatų, kuriame yra įvesti slaptažodį.


Vietinio vartotojo - sukurti arba pakeisti

Veiksmas: atnaujinti
  • Slaptažodis ir Patvirtinkite slaptažodį laukai yra išjungti.
  • Įspėjimo dialogo boxappears kai administratorius atidaromas arba bando įrašyti pakeitimus į esamą nuostatų, kuriame yra įvesti slaptažodį.


Vietinio vartotojo - Update

Veiksmas: Delete
  • Veikimo pasikeitimai

Laikini problemų sprendimai

Tiems, kurie anksčiau remiasi grupės strategijos nuostatų nustatymas vietinio administratoriaus slaptažodžius, šis scenarijus yra pateikiamas kaip saugi alternatyva CPassword. Nukopijuokite ir išsaugoti turinį į naują "Windows PowerShell" failą ir tada paleiskite scenarijų, kaip nurodyta jo. PAVYZDYS skyriuje.

Microsoft pateikia programavimo pavyzdžius, tačiau nesuteikia jokių aiškių arba numanomų garantijų. Tai apima, bet neapsiribojant, numanomas garantijas dėl perkamumo ir tinkamumo konkrečiam tikslui. Šis straipsnis parašytas galvojant, kad esate susipažinę su pateikta programavimo kalba ir įrankiais, kurie yra naudojami procedūroms kurti ir derinti. "Microsoft" palaikymo inžinieriai gali padėti paaiškindami tam tikros procedūros funkcinę galimybę. Tačiau jie nekeis šių pavyzdžių, kad numatytų papildomą funkcinę galimybę arba sukurtų konkrečius jūsų reikalavimus atitinkančias procedūras.

 function Invoke-PasswordRoll{<#.SYNOPSISThis script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPasswordFunction: Invoke-PasswordRollAuthor: MicrosoftVersion: 1.0.DESCRIPTIONThis script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPassword.PARAMETER ComputerNameAn array of computers to run the script against using PowerShell remoting..PARAMETER LocalAccountsAn array of local accounts whose password should be changed..PARAMETER TsvFileNameThe file to output the username/password/server combinations to..PARAMETER EncryptionKeyA password to encrypt the TSV file with. Uses AES encryption. Only the passwords stored in the TSV file will be encrypted, the username and servername will be clear-text..PARAMETER PasswordLengthThe length of the passwords which will be randomly generated for local accounts..PARAMETER NoEncryptionDo not encrypt the account passwords stored in the TSV file. This will result in clear-text passwords being written to disk.	.EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileInvoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator","CustomLocalAdmin") -TsvFileName "LocalAdminCredentials.tsv" -EncryptionKey "Password1"Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" and/or "CustomLocalAdmin" are present on the system, their password is changedto a randomly generated password of length 20 (the default). The username/password/server combinations are stored in LocalAdminCredentials.tsv, and the account passwords are AES encrypted using the password "Password1"..EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileInvoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator") -TsvFileName "LocalAdminCredentials.tsv" -NoEncryption -PasswordLength 40Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" is present on the system, its password is changed to a random generatedpassword of length 40. The username/password/server combinations are stored in LocalAdminCredentials.tsv unencrypted..NOTESRequirements: -PowerShellv2 or above must be installed-PowerShell remoting must be enabled on all systems the script will be run againstScript behavior:-If a local account is present on the system, but not specified in the LocalAccounts parameter, the script will write a warning to the screen to alert you to the presence of this local account. The script will continue running when this happens.-If a local account is specified in the LocalAccounts parameter, but the account does not exist on the computer, nothing will happen (an account will NOT be created).-The function ConvertTo-CleartextPassword, contained in this file, can be used to decrypt passwords that are stored encrypted in the TSV file.-If a server specified in ComputerName cannot be connected to, PowerShell will output an error message.-Microsoft advises companies to regularly roll all local and domain account passwords.#>    [CmdletBinding(DefaultParameterSetName="Encryption")]    Param(        [Parameter(Mandatory=$true)]        [String[]]        $ComputerName,        [Parameter(Mandatory=$true)]        [String[]]        $LocalAccounts,        [Parameter(Mandatory=$true)]        [String]        $TsvFileName,        [Parameter(ParameterSetName="Encryption", Mandatory=$true)]        [String]        $EncryptionKey,        [Parameter()]        [ValidateRange(20,120)]        [Int]        $PasswordLength = 20,        [Parameter(ParameterSetName="NoEncryption", Mandatory=$true)]        [Switch]        $NoEncryption    )    #Load any needed .net classes    Add-Type -AssemblyName "System.Web" -ErrorAction Stop    #This is the scriptblock that will be executed on every computer specified in ComputerName    $RemoteRollScript = {        Param(            [Parameter(Mandatory=$true, Position=1)]            [String[]]            $Passwords,            [Parameter(Mandatory=$true, Position=2)]            [String[]]            $LocalAccounts,            #This is here so I can record what the server name that the script connected to was, sometimes the DNS records get messed up, it can be nice to have this.            [Parameter(Mandatory=$true, Position=3)]            [String]            $TargettedServerName        )        $LocalUsers = Get-WmiObject Win32_UserAccount -Filter "LocalAccount=true" | Foreach {$_.Name}        #Check if the computer has any local user accounts whose passwords are not going to be rolled by this script        foreach ($User in $LocalUsers)        {            if ($LocalAccounts -inotcontains $User)            {                Write-Warning "Server: '$($TargettedServerName)' has a local account '$($User)' whos password is NOT being changed by this script"            }        }        #For every local account specified that exists on this server, change the password        $PasswordIndex = 0        foreach ($LocalAdmin in $LocalAccounts)        {            $Password = $Passwords[$PasswordIndex]            if ($LocalUsers -icontains $LocalAdmin)            {                try                {                    $objUser = [ADSI]"WinNT://localhost/$($LocalAdmin), user"                    $objUser.psbase.Invoke("SetPassword", $Password)                    $Properties = @{                        TargettedServerName = $TargettedServerName                        Username =  $LocalAdmin                        Password = $Password                        RealServerName = $env:computername                    }                    $ReturnData = New-Object PSObject -Property $Properties                    Write-Output $ReturnData                }                catch                {                    Write-Error "Error changing password for user:$($LocalAdmin) on server:$($TargettedServerName)"                }            }            $PasswordIndex++        }    }    #Generate the password on the client running this script, not on the remote machine. System.Web.Security isn't available in the .NET Client profile. Making this call    #    on the client running the script ensures only 1 computer needs the full .NET runtime installed (as opposed to every system having the password rolled).    function Create-RandomPassword    {        Param(            [Parameter(Mandatory=$true)]            [ValidateRange(20,120)]            [Int]            $PasswordLength        )        $Password = [System.Web.Security.Membership]::GeneratePassword($PasswordLength, $PasswordLength / 4)        #This should never fail, but I'm putting a sanity check here anyways        if ($Password.Length -ne $PasswordLength)        {            throw new Exception("Password returned by GeneratePassword is not the same length as required. Required length: $($PasswordLength). Generated length: $($Password.Length)")        }        return $Password    }    #Main functionality - Generate a password and remote in to machines to change the password of local accounts specified    if ($PsCmdlet.ParameterSetName -ieq "Encryption")    {        try        {            $Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider            $SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))        }        catch        {            Write-Error "Error creating TSV encryption key" -ErrorAction Stop        }    }    foreach ($Computer in $ComputerName)    {        #Need to generate 1 password for each account that could be changed        $Passwords = @()        for ($i = 0; $i -lt $LocalAccounts.Length; $i++)        {            $Passwords += Create-RandomPassword -PasswordLength $PasswordLength        }        Write-Output "Connecting to server '$($Computer)' to roll specified local admin passwords"        $Result = Invoke-Command -ScriptBlock $RemoteRollScript -ArgumentList @($Passwords, $LocalAccounts, $Computer) -ComputerName $Computer        #If encryption is being used, encrypt the password with the user supplied key prior to writing to disk        if ($Result -ne $null)        {            if ($PsCmdlet.ParameterSetName -ieq "NoEncryption")            {                $Result | Select-Object Username,Password,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation            }            else            {                #Filters out $null entries returned                $Result = $Result | Select-Object Username,Password,TargettedServerName,RealServerName                foreach ($Record in $Result)                {                    $PasswordSecureString = ConvertTo-SecureString -AsPlainText -Force -String ($Record.Password)                    $Record | Add-Member -MemberType NoteProperty -Name EncryptedPassword -Value (ConvertFrom-SecureString -Key $SecureStringKey -SecureString $PasswordSecureString)                    $Record.PSObject.Properties.Remove("Password")                    $Record | Select-Object Username,EncryptedPassword,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation                }            }        }    }}function ConvertTo-CleartextPassword{<#.SYNOPSISThis function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll.Function: ConvertTo-CleartextPasswordAuthor: MicrosoftVersion: 1.0.DESCRIPTIONThis function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll..PARAMETER EncryptedPasswordThe encrypted password that was stored in a TSV file..PARAMETER EncryptionKeyThe password used to do the encryption..EXAMPLE. .\Invoke-PasswordRoll.ps1    #Loads the functions in this script fileConvertTo-CleartextPassword -EncryptionKey "Password1" -EncryptedPassword 76492d1116743f0423413b16050a5345MgB8AGcAZgBaAHUAaQBwADAAQgB2AGgAcABNADMASwBaAFoAQQBzADEAeABjAEEAPQA9AHwAZgBiAGYAMAA1ADYANgA2ADEANwBkADQAZgAwADMANABjAGUAZQAxAGIAMABiADkANgBiADkAMAA4ADcANwBhADMAYQA3AGYAOABkADcAMQA5ADQAMwBmAGYANQBhADEAYQBjADcANABkADIANgBhADUANwBlADgAMAAyADQANgA1ADIAOQA0AGMAZQA0ADEAMwAzADcANQAyADUANAAzADYAMAA1AGEANgAzADEAMQA5ADAAYwBmADQAZAA2AGQA"Decrypts the encrypted password which was stored in the TSV file.#>    Param(        [Parameter(Mandatory=$true)]        [String]        $EncryptedPassword,        [Parameter(Mandatory=$true)]        [String]        $EncryptionKey    )    $Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider    $SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))    [SecureString]$SecureStringPassword = ConvertTo-SecureString -String $EncryptedPassword -Key $SecureStringKey    Write-Output ([System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($SecureStringPassword)))}
Administratoriai gali įtraukti vietinio administratoriaus abonementą į kompiuterių kūrimas "Active Directory grupei" ir įtraukti jį į vietinių administratorių grupei per grupės strategijos nuostatos-> vietos grupės. Šis veiksmas nekaupia kredencialus. Dialogo lange panašus į šį. Šį sprendimą ar reikia prisijungti prie Active Directory domenų tarnyba, kai vartotojas yra prisijungęs onby naudojant šiuos kredencialus.


Vietinės grupės - sprendimas


2 scenarijus: Susietieji diskai

Administratoriai disko žemėlapių priskirti tinklo vietos vartotojams. Slaptažodžio apsauga funkcija naudojama įsitikinti, kad įgaliotasis prieigos prie disko. Šias nuostatas turi įtakos:
  • Vartotojo konfigūracija->-> disko žemėlapių-> nauja-> susieto disko "Windows" parametrus

Svarbių pakeitimų

Veiksmas: Sukurti, naujinimas, arba pakeisti
  • Vartotojo vardas, Slaptažodisir Patvirtinkite slaptažodį laukai yra išjungti.

Susieto disko - sukurti/atnaujinti/pakeisti

Veiksmas: Delete
  • Veikimo pasikeitimai

Laikini problemų sprendimai

Vietoj būdu slaptažodžio autentifikavimas, galite naudoti Windows Explorer tvarkyti bendrojo naudojimo teisės ir priskirti teises vartotojams. Galite naudoti Active Directory objektų teises į aplanką.


Scenarijus 3: paslaugos

Tarnybos nuostatų galite keisti paslaugų ypatybes, taip, kad jie paleisti ne savo originalaus saugos konteksto kontekste. Šias nuostatas turi įtakos:
  • Kompiuterio konfigūracija->-> paslaugų-> naujo-> tarnybos valdymo skydo parametrai

Svarbių pakeitimų

Paleisties: Nėra keitimą, automatinis arba Rankinis
  • Slaptažodis ir Patvirtinkite slaptažodį laukai yra išjungti.
  • Administratorius gali naudoti tik Įtaisytieji abonementai.

Paslauga – nekeisti/Automatinis/Rankinis

Paleisties: išjungti
  • Veikimo pasikeitimai
Naujas dialogo langas
  • Administratoriai, pabandykite naudoti ne integruota-naudotojams šio abonemento "parodytas toks įspėjimas:

Nuo ne builtin vartotojams


Laikini problemų sprendimai

Paslaugos vis tiek galite paleisti kaip vietinės sistemos abonentas. Tarnybos teisės gali būti pakeistos, nes įtrauktos į šį straipsnį Microsoft žinių bazėje:
256345 Kaip konfigūruoti grupės strategijos parametrus, kad būtų nustatyti saugos sistemos

Pastaba
jei nėra paslaugą, kurį norite konfigūruoti, turite konfigūruoti parametrus kompiuteryje, kuriame yra paslauga veikia.


4 scenarijus: Suplanuotos ir nedelsiant užduotis (iki lygio)

Jie naudojami vykdyti suplanuotas užduotis konkrečių saugos kontekste. Galimybė saugoti kredencialų suplanuotas užduotis vykdyti pasirinktines vartotojas, kai vartotojas nėra įėjęs nėra prieinamas. Šias nuostatas turi įtakos. (Turėkite omenyje, kai kurie platformose, "bent" Windows 7" buvo pakeistas" Windows Vista ir vėliau. ")
  • Kompiuterio konfigūracija-> valdymo skydo parametrai-> planuojamos-> naujas-> suplanuotas užduotis (ne mažiau kaip Windows 7)
  • Kompiuterio konfigūracija->-> planuojamos-> naujas-> nedelsiant užduočių valdymo skydo parametrai (ne mažiau kaip Windows 7)
  • Vartotojo konfigūracija-> valdymo skydo parametrai-> planuojamos-> naujas-> suplanuotas užduotis (ne mažiau kaip Windows 7)
  • Vartotojo konfigūracija->-> planuojamos-> naujas-> nedelsiant užduočių valdymo skydo parametrai (ne mažiau kaip Windows 7)

Svarbių pakeitimų

Veiksmas: sukurti, naujinimas, arba pakeisti
  • Pasirinkus parinktį paleisti ar vartotojas yra įėjęs, ar ne , dialogo lange nebėra ragina administratoriaus kredencialus.
  • Žymės langelis nėra saugoti slaptažodį yra išjungta. Pagal numatytuosius parametrus, taip pat langelį.

Naujas suplanuotas arba nedelsiant užduotis (iki lygio)

Veiksmas: panaikinti

Veikimo pasikeitimai

Laikini problemų sprendimai

Dėl su "suplanuoti užduotį (bent Windows 7)" ir "nedelsiant užduočių (ne mažiau kaip Windows 7)" užduotys, administratoriai gali naudoti konkretaus vartotojo abonementų, kai atsižvelgiant vartotojas yra prisiregistravęs. Arba jie gali turėti tik prieigą prie vietinių išteklių, vartotojo vardą. Šiuos tasksstillcan vykdyti pagal vietos tarnybos.



5 scenarijus: Suplanuotos ir nedelsiant užduotis (žemesnio lygio)

Tai yra nuostatos, naudojamų planuojamos ir konkrečios saugos konteksto žemesnio lygio versija. Galimybė saugoti kredencialų suplanuotas užduotis vykdyti pasirinktines vartotojas, kai vartotojas nėra įėjęs nėra prieinamas. Šias nuostatas turi įtakos:
  • Kompiuterio konfigūracija-> valdymo skydo parametrai-> suplanuotas užduotis-> nauja-> suplanuotas užduotis
  • Kompiuterio konfigūracija-> valdymo skydo parametrai-> suplanuotas užduotis-> nauja-> nedelsiant užduotis (Windows XP)
  • Vartotojo konfigūracija-> valdymo skydo parametrai-> suplanuotas užduotis-> nauja-> suplanuotas užduotis
  • Vartotojo konfigūracija-> valdymo skydo parametrai-> suplanuotas užduotis-> nauja-> nedelsiant užduotis (Windows XP)

Svarbių pakeitimų

Veiksmas: Sukurti, naujinimas, arba pakeisti
  • Vykdyti kaip žymės langelis yra išjungta. Todėl Vartotojo vardas, Slaptažodisir Patvirtinkite slaptažodį laukų visi išjungiami.

Nauja užduotis - sukurti/atnaujinti/pakeisti (žemesnio lygio)

Veiksmas: panaikinti

Veikimo pasikeitimai

Laikini problemų sprendimai

"Suplanuotos užduoties" ir "(" Windows XP ") nedelsiant užduotį" elementus, suplanuotas užduotis paleisti teisės, kurios šiuo metu yra vietinė tarnyba.


6 scenarijus: Duomenų šaltinių

Duomenų šaltinių nuostatų naudojamas susieti su kompiuteriu arba vartotojo duomenų šaltinio. Ši funkcija jau saugo kredencialus įjungti prieigą prie duomenų šaltinių, yra apsaugota slaptažodžiu. Šias nuostatas turi įtakos:
  • Kompiuterio konfigūracija-> valdymo skydo parametrai-> duomenų šaltinių
  • Vartotojo konfigūracija-> valdymo skydo parametrai-> duomenų šaltinių

Svarbių pakeitimų

Veiksmas: sukurti, naujinimas, arba pakeisti
  • Vartotojo vardas, Slaptažodisir Patvirtinkite slaptažodį laukai yra išjungtos:

Duomenų šaltinių - sukurti/atnaujinti/pakeisti

Veiksmas: Delete
  • Veikimo pasikeitimai

Laikini problemų sprendimai

Galimi jokio sprendimo būdai. Šią nuostatą daugiau saugo kredencialus suteikti prieigą prie duomenų šaltinių, yra apsaugota slaptažodžiu.


Nuteistųjų CPassword

Pašalinti CPassword

"Windows PowerShell" scenarijų, kuris yra įtrauktas į šį straipsnį Microsoft žinių bazėje aptinka, ar domeno yra grupės strategijos nuostatos, gali būti naudojamas CPassword. Jei CPassword XML į tam tikrą nuostatų, jis rodomas sąraše.


Aptikti CPassword nuostatos

Šis scenarijus turi būti vykdomas iš vietos kataloge domeno valdiklio, kurį norite išvalyti. Kopijuoti ir įrašyti naują "Windows PowerShell" failo turinį, nustatyti jūsų sistemos diske ir paleiskite scenarijų, kaip nurodyta šioje naudojimo.

 <#.SYNOPSISGroup Policy objects in your domain can have preferences that store passwords for different tasks, such as the following:    1. Data Sources    2. Drive Maps    3. Local Users    4. Scheduled Tasks (both XP and up-level)    5. ServicesThese passwords are stored in SYSVOL as part of GP preferences and are not secure because of weak encryption (32-byte AES). Therefore, we recommend that you not deploy such preferences in your domain environment and remove any such existing preferences. This script is to help administrator find GP Preferences in their domain's SYSVOL that contains passwords. .DESCRIPTIONThis script should be run on a DC or a client computer that is installed with RSAT to print all the preferences that contain password with information such as GPO, Preference Name, GPEdit path under which this preference is defined.After you have a list of affected preferences, these preferences can be removed by using the editor in the Group Policy Management Console. .SYNTAXGet-SettingsWithCPassword.ps1 [-Path  <String>] .EXAMPLEGet-SettingsWithCPassword.ps1 -Path %WinDir%\SYSVOL\domainGet-SettingsWithCPassword.ps1 -Path  <GPO Backup Folder Path> .NOTESIf Group Policy PS module is not found the output will contain GPO GUIDs instead of GPO names. You can either run this script on a domain controller or rerun the script on the client after you have installed RSAT and enabled the Group Policy module.Or, you can use GPO GUIDs to obtain GPO names by using the Get-GPO cmdlet. .LINKhttp://go.microsoft.com/fwlink/?LinkID=390507 #>#----------------------------------------------------------------------------------------------------------------# Input parameters#--------------------------------------------------------------------------------------------------------------param(    [string]$Path = $(throw "-Path is required.") # Directory path where GPPs are located. )#---------------------------------------------------------------------------------------------------------------$isGPModuleAvailable = $false$impactedPrefs = { "Groups.xml", "ScheduledTasks.xml","Services.xml", "DataSources.xml", "Drives.xml" }#----------------------------------------------------------------------------------------------------------------# import Group olicy module if available#----------------------------------------------------------------------------------------------------------------if (-not (Get-Module -name "GroupPolicy")){   if (Get-Module -ListAvailable |          Where-Object { $_.Name -ieq "GroupPolicy" })    {        $isGPModuleAvailable = $true        Import-Module "GroupPolicy"    }    else    {        Write-Warning "Unable to import Group Policy module for PowerShell. Therefore, GPO guids will be reported.                        Run this script on DC to obtain the GPO names, or use the Get-GPO cmdlet (on DC) to obtain the GPO name from GPO guid."    }}else{    $isGPModuleAvailable = $true}Function Enum-SettingsWithCpassword ( [string]$sysvolLocation ){    # GPMC tree paths    $commonPath = " -> Preferences -> Control Panel Settings -> "    $driveMapPath = " -> Preferences -> Windows Settings -> "        # Recursively obtain all the xml files within the SYVOL location    $impactedXmls = Get-ChildItem $sysvolLocation -Recurse -Filter "*.xml" | Where-Object { $impactedPrefs -cmatch $_.Name }            # Each xml file contains multiple preferences. Iterate through each preference to check whether it    # contains cpassword attribute and display it.    foreach ( $file in $impactedXmls )    {        $fileFullPath = $file.FullName                # Set GPP category. If file is located under Machine folder in SYSVOL        # the setting is defined under computer configuration otherwise the         # setting is a to user configuration          if ( $fileFullPath.Contains("Machine") )        {            $category = "Computer Configuration"        }        elseif ( $fileFullPath.Contains("User") )        {            $category = "User Configuration"        }        else        {            $category = "Unknown"        }        # Obtain file content as XML        try        {            [xml]$xmlFile = get-content $fileFullPath -ErrorAction Continue        }        catch [Exception]{            Write-Host $_.Exception.Message        }        if ($xmlFile -eq $null)        {            continue        }        switch ( $file.BaseName )        {            Groups             {                 $gppWithCpassword = $xmlFile.SelectNodes("Groups/User") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Local Users"            }            ScheduledTasks            {                $gppWithCpassword  = $xmlFile.SelectNodes("ScheduledTasks/*") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Scheduled Tasks"            }            DataSources            {                $gppWithCpassword = $xmlFile.SelectNodes("DataSources/DataSource") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Data sources"            }            Drives            {                $gppWithCpassword = $xmlFile.SelectNodes("Drives/Drive") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Drive Maps"            }            Services            {                $gppWithCpassword = $xmlFile.SelectNodes("NTServices/NTService") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }                $preferenceType = "Services"            }            default            {   # clear gppWithCpassword and preferenceType for next item.                try                {                    Clear-Variable -Name gppWithCpassword -ErrorAction SilentlyContinue                    Clear-Variable -Name preferenceType -ErrorAction SilentlyContinue                }                catch [Exception]{}            }        }        if ($gppWithCpassword -ne $null)        {            # Build GPO name from GUID extracted from filePath             $guidRegex = [regex]"\{(.*)\}"            $match = $guidRegex.match($fileFullPath)            if ($match.Success)            {               $gpoGuid = $match.groups[1].value               $gpoName = $gpoGuid            }            else            {               $gpoName = "Unknown"            }            if($isGPModuleAvailable -eq $true)            {                try                 {                       $gpoInfo = Get-GPO -Guid $gpoGuid -ErrorAction Continue                    $gpoName = $gpoInfo.DisplayName                }                catch [Exception] {                    Write-Host $_.Exception.Message                }            }            # display prefrences that contain cpassword            foreach ( $gpp in $gppWithCpassword )            {                if ( $preferenceType -eq "Drive Maps" )                {                    $prefLocation = $category + $driveMapPath + $preferenceType                }                else                {                    $prefLocation = $category + $commonPath + $preferenceType                }                $obj = New-Object -typeName PSObject                 $obj | Add-Member –membertype NoteProperty –name GPOName    –value ($gpoName)      –passthru |                       Add-Member -MemberType NoteProperty -name Preference -value ($gpp.Name)     -passthru |                       Add-Member -MemberType NoteProperty -name Path       -value ($prefLocation)                Write-Output $obj             }        } # end if $gppWithCpassword    } # end foreach $file} # end functions Enum-PoliciesWithCpassword#-----------------------------------------------------------------------------------# Check whether Path is valid. Enumerate all settings that contain cpassword. #-----------------------------------------------------------------------------------if (Test-Path $Path ){    Enum-SettingsWithCpassword $Path}else{    Write-Warning "No such directory: $Path"}  


Naudojimo pavyzdys (manoma, kad sistemos diskas yra C)

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | Format-List

Pastaba. Atminkite, kad taip pat galite taikyti jokių atsarginių kopijų kūrimo GPO, kad kelias vietoj domeno.

Aptikimo scenarijų sukuria sąrašą, panašų į šį:

įterpti grafinį elementą

Ilgiau sąrašų, apsvarstyti įrašymas išvestį į failą:

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | ConvertTo-Html > gpps.html

Pašalinus CPassword nuostatos

Norint pašalinti nuostatas, kuriuose yra CPassword, mes rekomenduojame naudoti grupės strategijos valdymo konsolę (GPMC) domeno valdiklyje arba iš kliento, kuriame yra įdiegti nuotolinio serverio administravimo įrankiai. Galite pašalinti visus nuostatų penkis veiksmus šios konsolės. Norėdami tai padaryti, atlikite šiuos veiksmus:
  1. GPMC, atidarykite nuostatų, kuriame yra CPassword duomenų.
  2. Pakeiskite veiksmo panaikinti arba išjungti, atsižvelgdami į nuostatų.
  3. Spustelėkite gerai Norėdami įrašyti keitimus.
  4. Palaukite, kol vieną ar dvi grupės strategijos atnaujinimo ciklai leisti keisti platinti klientams.
  5. Po to, kai pakeitimai bus taikomi visiems klientams, panaikinkite pirmenybė.
  6. Pakartokite veiksmus nuo 1 iki 5, kiek reikia išvalyti visą savo aplinką. Kai aptikimo scenarijus pateikia nulis rezultatų, darbas baigtas.

Failo maišos informacija

Failo vardasSHA1 maišosSHA256 maiša
Windows6.0-KB2928120-ia64.msuB2A74305CB56191774BFCF9FCDEAA983B26DC9A6DCE8C0F9CEB97DBF1F7B9BAF76458B3770EF01C0EDC581621BC8C3B2C7FD14E7
Windows6.0-KB2928120-x64.msu386457497682A2FB80BC93346D85A9C1BC38FBF71AF67EB12614F37F4AC327E7B5767AFA085FE676F6E81F0CED95D20393A1D38D
Windows6.0-KB2928120-x86.msu42FF283781CEC9CE34EBF459CA1EFE011D5132C3016D7E9DBBC5E487E397BE0147B590CFBBB5E83795B997894870EC10171E16D4
Windows6.1-KB2928120-ia64.msu5C2196832EC94B99AAF9B074D3938525B72196909958FA58134F55487521243AD9740BEE0AC210AC290D45C8322E424B3E5EBF16
Windows6.1-KB2928120-x64.msuEA5332F4E289DC799611EAB8E3EE2E86B7880A4B417A2BA34F8FD367556812197E2395ED40D8B394F9224CDCBE8AB3939795EC2A
Windows6.1-KB2928120-x86.msu7B7B6EE24CD8BE1AB3479F9E1CF9C98982C8BAB1603206D44815EF2DC262016ED13D6569BE13D06E2C6029FB22621027788B8095
Windows8-RT-KB2928120-x64.msuE18FC05B4CCA0E195E62FF0AE534BA39511A8593FCAED97BF1D61F60802D397350380FADED71AED64435D3E9EAA4C0468D80141E
Windows8-RT-KB2928120-x86.msuA5DFB34F3B9EAD9FA78C67DFC7ACACFA2FBEAC0B7F00A72D8A15EB2CA70F7146A8014E39A71CFF5E39596F379ACD883239DABD41
Windows8.1-KB2928120-x64.msuA07FF14EED24F3241D508C50E869540915134BB46641B1A9C95A7E4F0D5A247B9F488887AC94550B7F1D7B1198D5BCBA92F7A753
Windows8.1-KB2928120-x86.msuDE84667EC79CBA2006892452660EB99580D27306468EE4FA3A22DDE61D85FD3A9D0583F504105DF2F8256539051BC0B1EB713E9C
Windows8.1-KB2961899-x64.msu10BAE807DB158978BCD5D8A7862BC6B3EF20038BEC26618E23D9278FC1F02CA1F13BB289E1C6C4E0C8DA5D22E1D9CDA0DA8AFF51
Windows8.1-KB2961899-x86.msu230C64447CC6E4AB3AD7B4D4655B8D8CEFBFBE98E3FAD567AB6CA616E42873D3623A777185BE061232B952938A8846A974FFA7AF
Update security_patch security_update saugos klaidą trūkumas pažeidžiamumo įsilaužėlis exploit registry unauthenticated buferio overrun overflow specialiai-sukurtas sritis specialiai sukurtas denial tarnybos DoS TSE

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 2962486 – Paskutinė peržiūra: 10/01/2015 17:04:00 – Peržiūra: 1.0

Windows RT 8.1, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, 2 pakeitimų paketas operacinei sistemai „Windows Vista“

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmt KB2962486 KbMtlt
Atsiliepimai