ĮVADAS
Microsoft išleido saugos biuletenį MS14-025. Norėdami daugiau sužinoti apie šį saugos biuletenį:
-
Namų vartotojai:
https://www.microsoft.com/security/pc-security/updates.aspxPraleisti informaciją: dabar atsisiųsti namų kompiuterio ar nešiojamojo kompiuterio naujinimus iš „Microsoft Update“ svetainės:
-
IT profesionalams:
Kaip gauti šio saugos naujinimo žinyną ir palaikymą
Pagalba diegiant naujinimus:
"Microsoft Update" palaikymas
Saugos sprendimai IT profesionalams:
TechNet saugos trikčių šalinimas ir palaikymas
Apsaugoti jūsų kompiuterio Windows nuo virusų ir kenkėjiškų programų:
Apsaugos nuo virusų sprendimų ir saugos centras
Vietos palaikymas pagal jūsų šalyje:
Tarptautinis palaikymas
Daugiau informacijos
Žinomos problemos ir daugiau informacijos apie šį saugos naujinimą
Šie straipsniai yra daugiau informacijos apie šį saugos naujinimą, kiek jis susijęs su atskirų produkto versijos. Straipsniai gali būti žinomas informacijos. Jei taip ir yra, žinoma problema yra nurodytas kiekvieno straipsnio saitą.
-
2928120
MS14-025: Naujinimo aprašas saugos naujinimo Windows nuotolinio serverio administravimo įrankiai sistemoms, kuriose įdiegta 2919355: 2014 m. gegužės 13 -
2961899
MS14-025: Naujinimo aprašas saugos naujinimo Windows nuotolinio serverio administravimo įrankiai sistemoms, kuriose įdiegta 2919355: 2014 m. gegužės 13
Grupės strategijos nuostatos
Apžvalga
Kai kurie grupės strategijos nuostatos gali saugoti slaptažodį. Ši funkcija yra pašalinama, nes slaptažodis buvo išsaugotas insecurely. Šiame straipsnyje aprašoma vartotojo sąsajos pakeitimai ir bet galima apeiti.
Šios grupės strategijos nuostatos leis daugiau vartotojų vardai ir slaptažodžiai turi būti saugomi:
-
Disko žemėlapiai
-
Vietiniai vartotojai ir grupės
-
Suplanuotos užduotys
-
Tarnybos
-
Duomenų šaltinių
Tai turės įtakos veikimo visus esamus grupės strategijos objektus (GPO) savo aplinkoje, pagrįstos slaptažodžius, esantys šių nuostatų. Taip pat padės išvengti, sukurti naują grupės strategijos nuostatos, naudodami šią funkciją.
Drive žemėlapiai, vietiniai vartotojai ir grupės, ir paslaugas, galbūt galėsite pasiekti panašių tikslų per Windows funkcija, saugesnis.
Planuojamos ir duomenų šaltinių, jūs negalėsite pasiekti patį tikslus, kuriuos buvo galima įsigyti grupės strategijos nuostatos slaptažodžių nesaugią funkcija.
Scenarijai
Šis pakeitimas turės įtakos šios grupės strategijos nuostatos. Kiekvienas nuostatų galioja trumpai ir tada išsamiau. Be to, problemos sprendimo būdai yra numatyta, kad galėtumėte atlikti tas pačias užduotis.
Susijusio nuostatų |
Taikoma vartotojui |
Taikomas kompiuteris |
Vietinių vartotojų valdymas |
taip |
taip |
Susietieji diskai |
taip |
ne |
Tarnybos |
ne |
taip |
Suplanuotas užduotis (iki lygio) |
taip |
taip |
Suplanuotas užduotis (žemesnio lygio) |
taip |
taip |
Tiesioginiai užduotis (iki lygio) |
taip |
taip |
Tiesioginiai užduotis (žemesnio lygio) |
taip |
taip |
Duomenų šaltinių |
taip |
taip |
Pakeitimų suvestinė
-
Slaptažodžio laukų visus susijusio nuostatos yra išjungti. Administratoriai negalite sukurti naują nuostatos naudodami šiuos laukus slaptažodį.
-
Vartotojo vardas laukas yra išjungtas, kai kurios nuostatos.
-
Negalima atnaujinti esamą nuostatas, kuriuose yra slaptažodį. Jie gali būti panaikinti arba išjungti, atsižvelgdami į konkrečius pirmenybės.
-
Veikimo naikinti ir išjunkite veiksmų nepasikeitė, nuostatų.
-
Kai administratorius atsidarys jokių nuostatų, kuriame yra CPassword atributas, administratorius gauna šį įspėjimo dialogo pranešti savo dabartinių nusidėvėjimo. Bando įrašyti keitimus naujų arba esamų nuostatų, kuriuos reikia CPassword atributo bus inicijuotas tą patį dialogo lange. Tik panaikinti ir išjungti veiksmus bus paleisti įspėjimo dialogo langai.
1 scenarijus: Vietinių vartotojų valdymas
Vietinio vartotojo valdymo nuostatų dažnai naudojamas sukurti vietinių administratorių, kurie žinoma slaptažodį kompiuteryje. Ši funkcija yra nesaugios dėl taip, kad grupės strategijos nuostatos saugo slaptažodžius. Todėl ši funkcija nėra prieinamas. Šias nuostatas turi įtakos:
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> vietiniai vartotojai ir grupės -> naują vietinio vartotojo ->
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> vietiniai vartotojai ir grupės -> naują vietinio vartotojo ->
Svarbių pakeitimų
Veiksmas: Sukurti ar pakeisti
-
Vartotojo vardas, slaptažodisir Patvirtinkite slaptažodį laukai yra išjungti.
-
Įspėjimo dialogo langas, kai administratorius atidaromas arba bando įrašyti pakeitimus į esamą nuostatų, kuriame yra įvesti slaptažodį.
Veiksmas: atnaujinti
-
Slaptažodis ir Patvirtinkite slaptažodį laukai yra išjungti.
-
Įspėjimo dialogo langas, kai administratorius atidaromas arba bando įrašyti pakeitimus į esamą nuostatų, kuriame yra įvesti slaptažodį.
Veiksmas: panaikinti
-
Veikimo pasikeitimai
Laikini problemų sprendimai
Tiems, kurie anksčiau remiasi grupės strategijos nuostatų nustatymas vietinio administratoriaus slaptažodžius, šis scenarijus yra pateikiamas kaip saugi alternatyva CPassword. Nukopijuokite ir išsaugoti turinį į naują "Windows PowerShell" failą ir tada paleiskite scenarijų, kaip nurodyta jo. PAVYZDYS skyriuje.
Microsoft pateikia programavimo pavyzdžius tik, tačiau nesuteikia jokių aiškių arba numanomų garantijų. Tai apima, bet neapsiribojant, numanomas garantijas dėl perkamumo ir tinkamumo konkrečiam tikslui. Šis straipsnis parašytas galvojant, kad esate susipažinę su pateikta programavimo kalba ir įrankiais, kurie yra naudojami procedūroms kurti ir derinti. "Microsoft" palaikymo inžinieriai gali padėti paaiškindami konkrečios procedūros funkcines galimybes. Tačiau jie nekeis šių pavyzdžių, kad numatytų papildomą funkcinę galimybę arba sukurtų konkrečius jūsų reikalavimus atitinkančias procedūras.
function Invoke-PasswordRoll
{
<#
.SYNOPSIS
This script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.
The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.
The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPassword
Function: Invoke-PasswordRoll
Author: Microsoft
Version: 1.0
.DESCRIPTION
This script can be used to set the local account passwords on remote machines to random passwords. The username/password/server combination will be saved in a CSV file.
The account passwords stored in the CSV file can be encrypted using a password of the administrators choosing to ensure clear-text account passwords aren't written to disk.
The encrypted passwords can be decrypted using another function in this file: ConvertTo-CleartextPassword
.PARAMETER ComputerName
An array of computers to run the script against using PowerShell remoting.
.PARAMETER LocalAccounts
An array of local accounts whose password should be changed.
.PARAMETER TsvFileName
The file to output the username/password/server combinations to.
.PARAMETER EncryptionKey
A password to encrypt the TSV file with. Uses AES encryption. Only the passwords stored in the TSV file will be encrypted, the username and servername will be clear-text.
.PARAMETER PasswordLength
The length of the passwords which will be randomly generated for local accounts.
.PARAMETER NoEncryption
Do not encrypt the account passwords stored in the TSV file. This will result in clear-text passwords being written to disk.
.EXAMPLE
. .\Invoke-PasswordRoll.ps1 #Loads the functions in this script file
Invoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator","CustomLocalAdmin") -TsvFileName "LocalAdminCredentials.tsv" -EncryptionKey "Password1"
Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" and/or "CustomLocalAdmin" are present on the system, their password is changed
to a randomly generated password of length 20 (the default). The username/password/server combinations are stored in LocalAdminCredentials.tsv, and the account passwords are AES encrypted using the password "Password1".
.EXAMPLE
. .\Invoke-PasswordRoll.ps1 #Loads the functions in this script file
Invoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator") -TsvFileName "LocalAdminCredentials.tsv" -NoEncryption -PasswordLength 40
Connects to all the computers stored in the file "computerlist.txt". If the local account "administrator" is present on the system, its password is changed to a random generated
password of length 40. The username/password/server combinations are stored in LocalAdminCredentials.tsv unencrypted.
.NOTES
Requirements:
-PowerShellv2 or above must be installed
-PowerShell remoting must be enabled on all systems the script will be run against
Script behavior:
-If a local account is present on the system, but not specified in the LocalAccounts parameter, the script will write a warning to the screen to alert you to the presence of this local account. The script will continue running when this happens.
-If a local account is specified in the LocalAccounts parameter, but the account does not exist on the computer, nothing will happen (an account will NOT be created).
-The function ConvertTo-CleartextPassword, contained in this file, can be used to decrypt passwords that are stored encrypted in the TSV file.
-If a server specified in ComputerName cannot be connected to, PowerShell will output an error message.
-Microsoft advises companies to regularly roll all local and domain account passwords.
#>
[CmdletBinding(DefaultParameterSetName="Encryption")]
Param(
[Parameter(Mandatory=$true)]
[String[]]
$ComputerName,
[Parameter(Mandatory=$true)]
[String[]]
$LocalAccounts,
[Parameter(Mandatory=$true)]
[String]
$TsvFileName,
[Parameter(ParameterSetName="Encryption", Mandatory=$true)]
[String]
$EncryptionKey,
[Parameter()]
[ValidateRange(20,120)]
[Int]
$PasswordLength = 20,
[Parameter(ParameterSetName="NoEncryption", Mandatory=$true)]
[Switch]
$NoEncryption
)
#Load any needed .net classes
Add-Type -AssemblyName "System.Web" -ErrorAction Stop
#This is the scriptblock that will be executed on every computer specified in ComputerName
$RemoteRollScript = {
Param(
[Parameter(Mandatory=$true, Position=1)]
[String[]]
$Passwords,
[Parameter(Mandatory=$true, Position=2)]
[String[]]
$LocalAccounts,
#This is here so I can record what the server name that the script connected to was, sometimes the DNS records get messed up, it can be nice to have this.
[Parameter(Mandatory=$true, Position=3)]
[String]
$TargettedServerName
)
$LocalUsers = Get-WmiObject Win32_UserAccount -Filter "LocalAccount=true" | Foreach {$_.Name}
#Check if the computer has any local user accounts whose passwords are not going to be rolled by this script
foreach ($User in $LocalUsers)
{
if ($LocalAccounts -inotcontains $User)
{
Write-Warning "Server: '$($TargettedServerName)' has a local account '$($User)' whos password is NOT being changed by this script"
}
}
#For every local account specified that exists on this server, change the password
$PasswordIndex = 0
foreach ($LocalAdmin in $LocalAccounts)
{
$Password = $Passwords[$PasswordIndex]
if ($LocalUsers -icontains $LocalAdmin)
{
try
{
$objUser = [ADSI]"WinNT://localhost/$($LocalAdmin), user"
$objUser.psbase.Invoke("SetPassword", $Password)
$Properties = @{
TargettedServerName = $TargettedServerName
Username = $LocalAdmin
Password = $Password
RealServerName = $env:computername
}
$ReturnData = New-Object PSObject -Property $Properties
Write-Output $ReturnData
}
catch
{
Write-Error "Error changing password for user:$($LocalAdmin) on server:$($TargettedServerName)"
}
}
$PasswordIndex++
}
}
#Generate the password on the client running this script, not on the remote machine. System.Web.Security isn't available in the .NET Client profile. Making this call
# on the client running the script ensures only 1 computer needs the full .NET runtime installed (as opposed to every system having the password rolled).
function Create-RandomPassword
{
Param(
[Parameter(Mandatory=$true)]
[ValidateRange(20,120)]
[Int]
$PasswordLength
)
$Password = [System.Web.Security.Membership]::GeneratePassword($PasswordLength, $PasswordLength / 4)
#This should never fail, but I'm putting a sanity check here anyways
if ($Password.Length -ne $PasswordLength)
{
throw new Exception("Password returned by GeneratePassword is not the same length as required. Required length: $($PasswordLength). Generated length: $($Password.Length)")
}
return $Password
}
#Main functionality - Generate a password and remote in to machines to change the password of local accounts specified
if ($PsCmdlet.ParameterSetName -ieq "Encryption")
{
try
{
$Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider
$SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))
}
catch
{
Write-Error "Error creating TSV encryption key" -ErrorAction Stop
}
}
foreach ($Computer in $ComputerName)
{
#Need to generate 1 password for each account that could be changed
$Passwords = @()
for ($i = 0; $i -lt $LocalAccounts.Length; $i++)
{
$Passwords += Create-RandomPassword -PasswordLength $PasswordLength
}
Write-Output "Connecting to server '$($Computer)' to roll specified local admin passwords"
$Result = Invoke-Command -ScriptBlock $RemoteRollScript -ArgumentList @($Passwords, $LocalAccounts, $Computer) -ComputerName $Computer
#If encryption is being used, encrypt the password with the user supplied key prior to writing to disk
if ($Result -ne $null)
{
if ($PsCmdlet.ParameterSetName -ieq "NoEncryption")
{
$Result | Select-Object Username,Password,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation
}
else
{
#Filters out $null entries returned
$Result = $Result | Select-Object Username,Password,TargettedServerName,RealServerName
foreach ($Record in $Result)
{
$PasswordSecureString = ConvertTo-SecureString -AsPlainText -Force -String ($Record.Password)
$Record | Add-Member -MemberType NoteProperty -Name EncryptedPassword -Value (ConvertFrom-SecureString -Key $SecureStringKey -SecureString $PasswordSecureString)
$Record.PSObject.Properties.Remove("Password")
$Record | Select-Object Username,EncryptedPassword,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation
}
}
}
}
}
function ConvertTo-CleartextPassword
{
<#
.SYNOPSIS
This function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll.
Function: ConvertTo-CleartextPassword
Author: Microsoft
Version: 1.0
.DESCRIPTION
This function can be used to decrypt passwords that were stored encrypted by the function Invoke-PasswordRoll.
.PARAMETER EncryptedPassword
The encrypted password that was stored in a TSV file.
.PARAMETER EncryptionKey
The password used to do the encryption.
.EXAMPLE
. .\Invoke-PasswordRoll.ps1 #Loads the functions in this script file
ConvertTo-CleartextPassword -EncryptionKey "Password1" -EncryptedPassword 76492d1116743f0423413b16050a5345MgB8AGcAZgBaAHUAaQBwADAAQgB2AGgAcABNADMASwBaAFoAQQBzADEAeABjAEEAPQA9AHwAZgBiAGYAMAA1ADYANgA2ADEANwBkADQAZgAwADMANABjAGUAZQAxAGIAMABiADkANgBiADkAMAA4ADcANwBhADMAYQA3AGYAOABkADcAMQA5ADQAMwBmAGYANQBhADEAYQBjADcANABkADIANgBhADUANwBlADgAMAAyADQANgA1ADIAOQA0AGMAZQA0ADEAMwAzADcANQAyADUANAAzADYAMAA1AGEANgAzADEAMQA5ADAAYwBmADQAZAA2AGQA"
Decrypts the encrypted password which was stored in the TSV file.
#>
Param(
[Parameter(Mandatory=$true)]
[String]
$EncryptedPassword,
[Parameter(Mandatory=$true)]
[String]
$EncryptionKey
)
$Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider
$SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))
[SecureString]$SecureStringPassword = ConvertTo-SecureString -String $EncryptedPassword -Key $SecureStringKey
Write-Output ([System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($SecureStringPassword)))
}
Administratoriai gali įtraukti vietinio administratoriaus abonementą į kompiuterių kūrimas "Active Directory grupei" ir įtraukti jį į vietinių administratorių grupei per grupės strategijos nuostatos -> vietos grupės. Šis veiksmas nekaupia kredencialus. Dialogo lange panašus į šį. Šį sprendimą ar reikia prisijungti prie Active Directory domenų tarnyba, kai vartotojas yra prisiregistravęs naudojant šiuos kredencialus.
2 scenarijus: Susietieji diskai
Administratoriai disko žemėlapių priskirti tinklo vietos vartotojams. Slaptažodžio apsauga funkcija naudojama įsitikinti, kad įgaliotasis prieigos prie disko. Šias nuostatas turi įtakos:
-
Vartotojo konfigūracija -> Windows parametrai -> disko žemėlapių -> nauja -> susieto disko
Svarbių pakeitimų
Veiksmas: Sukurti ar pakeisti
-
Vartotojo vardas, slaptažodisir Patvirtinkite slaptažodį laukai yra išjungti.
Veiksmas: panaikinti
-
Veikimo pasikeitimai
Laikini problemų sprendimai
Vietoj būdu slaptažodžio autentifikavimas, galite naudoti Windows Explorer tvarkyti bendrojo naudojimo teisės ir priskirti teises vartotojams. Galite naudoti Active Directory objektų teises į aplanką.
Scenarijus 3: paslaugos
Tarnybos nuostatų galite keisti paslaugų ypatybes, taip, kad jie paleisti ne savo originalaus saugos konteksto kontekste. Šias nuostatas turi įtakos:
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> paslaugos -> naujo -> tarnybos
Svarbių pakeitimų
Paleisties: Nėra keitimą, automatinis arba rankinis
-
Slaptažodis ir Patvirtinkite slaptažodį laukai yra išjungti.
-
Administratorius gali naudoti tik Įtaisytieji abonementai.
Paleisties: išjungti
-
Veikimo pasikeitimai
Naujas dialogo langas
-
Administratoriai, pabandykite naudoti ne-integruota-naudotojams šio abonemento"parodytas toks įspėjimas:
Laikini problemų sprendimai
Paslaugos vis tiek galite paleisti kaip vietinės sistemos abonentas. Tarnybos teisės gali būti pakeistos, kaip "Microsoft" žinių bazės straipsnyje:
256345 kaip konfigūruoti grupės strategijos parametrus, kad būtų nustatyti saugos sistemos
Atkreipkite dėmesį, jei nėra paslaugą, kurį norite konfigūruoti, turite konfigūruoti parametrus kompiuteryje, kuriame yra paslauga veikia.
4 scenarijus: Suplanuotos ir nedelsiant užduotis (iki lygio)
Jie naudojami vykdyti suplanuotas užduotis konkrečių saugos kontekste. Galimybė saugoti kredencialų suplanuotas užduotis vykdyti pasirinktines vartotojas, kai vartotojas nėra įėjęs nėra prieinamas. Šias nuostatas turi įtakos. (Turėkite omenyje, kai kurie platformose, "bent" Windows 7 "" buvo pakeistas "Windows Vista ir vėliau.")
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> planuojamos -> Naujas -> suplanuotas užduotis (ne mažiau kaip "Windows 7")
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> planuojamos -> Naujas -> nedelsiant užduotis (ne mažiau kaip "Windows 7")
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> planuojamos -> Naujas -> suplanuotas užduotis (ne mažiau kaip "Windows 7")
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> planuojamos -> Naujas -> nedelsiant užduotis (ne mažiau kaip "Windows 7")
Svarbių pakeitimų
Veiksmas: Sukurti ar pakeisti
-
Pasirinkus parinktį paleisti ar vartotojas yra prisiregistravęs arba ne , dialogo lange nebėra ragina administratoriaus kredencialus.
-
Žymės langelis nėra saugoti slaptažodį yra išjungta. Pagal numatytuosius parametrus, taip pat langelį.
Veiksmas: panaikinti
Veikimo pasikeitimai
Laikini problemų sprendimai
Dėl su "suplanuoti užduotį (bent" Windows 7 ")" ir "nedelsiant užduočių (ne mažiau kaip" Windows 7 ")" užduotys, administratoriai gali naudoti konkretaus vartotojo abonementų, kai atsižvelgiant vartotojas yra prisiregistravęs. Arba jie gali turėti tik prieigą prie vietinių išteklių, vartotojo vardą. Šias užduotis vykdyti pagal vietos tarnybos.
5 scenarijus: Suplanuotos ir nedelsiant užduotis (žemesnio lygio)Tai yra nuostatos, naudojamų planuojamos ir konkrečios saugos konteksto žemesnio lygio versija. Galimybė saugoti kredencialų suplanuotas užduotis vykdyti pasirinktines vartotojas, kai vartotojas nėra įėjęs nėra prieinamas. Šias nuostatas turi įtakos:
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> suplanuotas užduotis -> nauja -> suplanuotas užduotis
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> suplanuotas užduotis -> nauja -> nedelsiant užduotis (Windows XP)
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> suplanuotas užduotis -> nauja -> suplanuotas užduotis
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> suplanuotas užduotis -> nauja -> nedelsiant užduotis (Windows XP)
Svarbių pakeitimų
Veiksmas: Sukurti ar pakeisti
-
Vykdyti kaip žymės langelis yra išjungta. Todėl Vartotojo vardas, slaptažodisir Patvirtinkite slaptažodį laukų visi išjungiami.
Veiksmas: panaikinti
Veikimo pasikeitimai
Laikini problemų sprendimai
"Suplanuotos užduoties" ir "(" Windows XP ") nedelsiant užduotį" elementus, suplanuotas užduotis paleisti teisės, kurios šiuo metu yra vietinė tarnyba.
6 scenarijus: Duomenų šaltinių
Duomenų šaltinių nuostatų naudojamas susieti su kompiuteriu arba vartotojo duomenų šaltinio. Ši funkcija jau saugo kredencialus įjungti prieigą prie duomenų šaltinių, yra apsaugota slaptažodžiu. Šias nuostatas turi įtakos:
-
Kompiuterio konfigūracija -> valdymo skydo parametrai -> duomenų šaltinių
-
Vartotojo konfigūracija -> valdymo skydo parametrai -> duomenų šaltinių
Svarbių pakeitimų
Veiksmas: Sukurti ar pakeisti
-
Vartotojo vardas, slaptažodisir Patvirtinkite slaptažodį laukai yra išjungti.
Veiksmas: panaikinti
-
Veikimo pasikeitimai
Laikini problemų sprendimai
Galimi jokio sprendimo būdai. Šią nuostatą daugiau saugo kredencialus suteikti prieigą prie duomenų šaltinių, yra apsaugota slaptažodžiu.
Nusidėvėjimo CPassword
Pašalinti CPassword
"Windows PowerShell" scenarijų, kurį rasite šiame "Microsoft" žinių bazės straipsnyje aptinka, ar domeno yra grupės strategijos nuostatos, gali būti naudojamas CPassword. Jei CPassword XML į tam tikrą nuostatų, jis rodomas sąraše.
Aptikti CPassword nuostatos
Šis scenarijus turi būti vykdomas iš vietos kataloge domeno valdiklio, kurį norite išvalyti. Nukopijuokite ir išsaugoti turinį į naują "Windows PowerShell" failą, nustatyti jūsų sistemos diske ir paleiskite scenarijų, kaip nurodyta šioje naudojimo.
<#.SYNOPSIS
Group Policy objects in your domain can have preferences that store passwords for different tasks, such as the following:
1. Data Sources
2. Drive Maps
3. Local Users
4. Scheduled Tasks (both XP and up-level)
5. Services
These passwords are stored in SYSVOL as part of GP preferences and are not secure because of weak encryption (32-byte AES).
Therefore, we recommend that you not deploy such preferences in your domain environment and remove any such existing
preferences. This script is to help administrator find GP Preferences in their domain's SYSVOL that contains passwords.
.DESCRIPTION
This script should be run on a DC or a client computer that is installed with RSAT to print all the preferences that contain
password with information such as GPO, Preference Name, GPEdit path under which this preference is defined.
After you have a list of affected preferences, these preferences can be removed by using the editor in the Group Policy Management Console.
.SYNTAX
Get-SettingsWithCPassword.ps1 [-Path <String>]
.EXAMPLE
Get-SettingsWithCPassword.ps1 -Path %WinDir%\SYSVOL\domain
Get-SettingsWithCPassword.ps1 -Path <GPO Backup Folder Path>
.NOTES
If Group Policy PS module is not found the output will contain GPO GUIDs instead of GPO names. You can either run
this script on a domain controller or rerun the script on the client after you have installed RSAT and
enabled the Group Policy module.
Or, you can use GPO GUIDs to obtain GPO names by using the Get-GPO cmdlet.
.LINK
http://go.microsoft.com/fwlink/?LinkID=390507
#>
#----------------------------------------------------------------------------------------------------------------
# Input parameters
#--------------------------------------------------------------------------------------------------------------
param(
[string]$Path = $(throw "-Path is required.") # Directory path where GPPs are located.
)
#---------------------------------------------------------------------------------------------------------------
$isGPModuleAvailable = $false
$impactedPrefs = { "Groups.xml", "ScheduledTasks.xml","Services.xml", "DataSources.xml", "Drives.xml" }
#----------------------------------------------------------------------------------------------------------------
# import Group olicy module if available
#----------------------------------------------------------------------------------------------------------------
if (-not (Get-Module -name "GroupPolicy"))
{
if (Get-Module -ListAvailable |
Where-Object { $_.Name -ieq "GroupPolicy" })
{
$isGPModuleAvailable = $true
Import-Module "GroupPolicy"
}
else
{
Write-Warning "Unable to import Group Policy module for PowerShell. Therefore, GPO guids will be reported.
Run this script on DC to obtain the GPO names, or use the Get-GPO cmdlet (on DC) to obtain the GPO name from GPO guid."
}
}
else
{
$isGPModuleAvailable = $true
}
Function Enum-SettingsWithCpassword ( [string]$sysvolLocation )
{
# GPMC tree paths
$commonPath = " -> Preferences -> Control Panel Settings -> "
$driveMapPath = " -> Preferences -> Windows Settings -> "
# Recursively obtain all the xml files within the SYVOL location
$impactedXmls = Get-ChildItem $sysvolLocation -Recurse -Filter "*.xml" | Where-Object { $impactedPrefs -cmatch $_.Name }
# Each xml file contains multiple preferences. Iterate through each preference to check whether it
# contains cpassword attribute and display it.
foreach ( $file in $impactedXmls )
{
$fileFullPath = $file.FullName
# Set GPP category. If file is located under Machine folder in SYSVOL
# the setting is defined under computer configuration otherwise the
# setting is a to user configuration
if ( $fileFullPath.Contains("Machine") )
{
$category = "Computer Configuration"
}
elseif ( $fileFullPath.Contains("User") )
{
$category = "User Configuration"
}
else
{
$category = "Unknown"
}
# Obtain file content as XML
try
{
[xml]$xmlFile = get-content $fileFullPath -ErrorAction Continue
}
catch [Exception]{
Write-Host $_.Exception.Message
}
if ($xmlFile -eq $null)
{
continue
}
switch ( $file.BaseName )
{
Groups
{
$gppWithCpassword = $xmlFile.SelectNodes("Groups/User") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }
$preferenceType = "Local Users"
}
ScheduledTasks
{
$gppWithCpassword = $xmlFile.SelectNodes("ScheduledTasks/*") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }
$preferenceType = "Scheduled Tasks"
}
DataSources
{
$gppWithCpassword = $xmlFile.SelectNodes("DataSources/DataSource") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }
$preferenceType = "Data sources"
}
Drives
{
$gppWithCpassword = $xmlFile.SelectNodes("Drives/Drive") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }
$preferenceType = "Drive Maps"
}
Services
{
$gppWithCpassword = $xmlFile.SelectNodes("NTServices/NTService") | where-Object { [String]::IsNullOrEmpty($_.Properties.cpassword) -eq $false }
$preferenceType = "Services"
}
default
{ # clear gppWithCpassword and preferenceType for next item.
try
{
Clear-Variable -Name gppWithCpassword -ErrorAction SilentlyContinue
Clear-Variable -Name preferenceType -ErrorAction SilentlyContinue
}
catch [Exception]{}
}
}
if ($gppWithCpassword -ne $null)
{
# Build GPO name from GUID extracted from filePath
$guidRegex = [regex]"\{(.*)\}"
$match = $guidRegex.match($fileFullPath)
if ($match.Success)
{
$gpoGuid = $match.groups[1].value
$gpoName = $gpoGuid
}
else
{
$gpoName = "Unknown"
}
if($isGPModuleAvailable -eq $true)
{
try
{
$gpoInfo = Get-GPO -Guid $gpoGuid -ErrorAction Continue
$gpoName = $gpoInfo.DisplayName
}
catch [Exception] {
Write-Host $_.Exception.Message
}
}
# display prefrences that contain cpassword
foreach ( $gpp in $gppWithCpassword )
{
if ( $preferenceType -eq "Drive Maps" )
{
$prefLocation = $category + $driveMapPath + $preferenceType
}
else
{
$prefLocation = $category + $commonPath + $preferenceType
}
$obj = New-Object -typeName PSObject
$obj | Add-Member –membertype NoteProperty –name GPOName –value ($gpoName) –passthru |
Add-Member -MemberType NoteProperty -name Preference -value ($gpp.Name) -passthru |
Add-Member -MemberType NoteProperty -name Path -value ($prefLocation)
Write-Output $obj
}
} # end if $gppWithCpassword
} # end foreach $file
} # end functions Enum-PoliciesWithCpassword
#-----------------------------------------------------------------------------------
# Check whether Path is valid. Enumerate all settings that contain cpassword.
#-----------------------------------------------------------------------------------
if (Test-Path $Path )
{
Enum-SettingsWithCpassword $Path
}
else
{
Write-Warning "No such directory: $Path"
}
Naudojimo pavyzdys (manoma, kad sistemos diskas yra C)
.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | Format-List
Pastaba. Atminkite, kad taip pat galite taikyti jokių atsarginių kopijų kūrimo GPO kelias vietoj domeno.
Aptikimo scenarijų sukuria sąrašą, panašų į šį:
Ilgiau sąrašų, pasvarstykite, ar išvestį į failą:
.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | ConvertTo-Html > gpps.html
Pašalinti CPassword nuostatos
Norint pašalinti nuostatas, kuriuose yra CPassword, mes rekomenduojame naudoti grupės strategijos valdymo konsolę (GPMC) domeno valdiklyje arba iš kliento, kuriame yra įdiegti nuotolinio serverio administravimo įrankiai. Jūs galite pašalinti visus nuostatų penkis veiksmus šios konsolės. Norėdami tai padaryti, atlikite šiuos veiksmus:
-
GPMC, atidarykite nuostatų, kuriame yra CPassword duomenų.
-
Pakeiskite veiksmo panaikinti arba išjungti, atsižvelgdami į nuostatų.
-
Spustelėkite gerai Norėdami įrašyti keitimus.
-
Palaukite, kol vieną ar dvi grupės strategijos atnaujinimo ciklai leisti keisti platinti klientams.
-
Po to, kai pakeitimai bus taikomi visiems klientams, panaikinkite pirmenybė.
-
Pakartokite veiksmus nuo 1 iki 5, kiek reikia išvalyti visą savo aplinką. Kai aptikimo scenarijus pateikia nulis rezultatų, darbas baigtas.
Failo vardas |
SHA1 maišos |
SHA256 maišos |
---|---|---|
Windows6.0-KB2928120-ia64.msu |
B2A74305CB56191774BFCF9FCDEAA983B26DC9A6 |
DCE8C0F9CEB97DBF1F7B9BAF76458B3770EF01C0EDC581621BC8C3B2C7FD14E7 |
Windows6.0-KB2928120-x64.msu |
386457497682A2FB80BC93346D85A9C1BC38FBF7 |
1AF67EB12614F37F4AC327E7B5767AFA085FE676F6E81F0CED95D20393A1D38D |
Windows6.0-KB2928120-x86.msu |
42FF283781CEC9CE34EBF459CA1EFE011D5132C3 |
016D7E9DBBC5E487E397BE0147B590CFBBB5E83795B997894870EC10171E16D4 |
Windows6.1-KB2928120-ia64.msu |
5C2196832EC94B99AAF9B074D3938525B7219690 |
9958FA58134F55487521243AD9740BEE0AC210AC290D45C8322E424B3E5EBF16 |
Windows6.1-KB2928120-x64.msu |
EA5332F4E289DC799611EAB8E3EE2E86B7880A4B |
417A2BA34F8FD367556812197E2395ED40D8B394F9224CDCBE8AB3939795EC2A |
Windows6.1-KB2928120-x86.msu |
7B7B6EE24CD8BE1AB3479F9E1CF9C98982C8BAB1 |
603206D44815EF2DC262016ED13D6569BE13D06E2C6029FB22621027788B8095 |
Windows8-RT-KB2928120-x64.msu |
E18FC05B4CCA0E195E62FF0AE534BA39511A8593 |
FCAED97BF1D61F60802D397350380FADED71AED64435D3E9EAA4C0468D80141E |
Windows8-RT-KB2928120-x86.msu |
A5DFB34F3B9EAD9FA78C67DFC7ACACFA2FBEAC0B |
7F00A72D8A15EB2CA70F7146A8014E39A71CFF5E39596F379ACD883239DABD41 |
Windows8.1-KB2928120-x64.msu |
A07FF14EED24F3241D508C50E869540915134BB4 |
6641B1A9C95A7E4F0D5A247B9F488887AC94550B7F1D7B1198D5BCBA92F7A753 |
Windows8.1-KB2928120-x86.msu |
DE84667EC79CBA2006892452660EB99580D27306 |
468EE4FA3A22DDE61D85FD3A9D0583F504105DF2F8256539051BC0B1EB713E9C |
Windows8.1-KB2961899-x64.msu |
10BAE807DB158978BCD5D8A7862BC6B3EF20038B |
EC26618E23D9278FC1F02CA1F13BB289E1C6C4E0C8DA5D22E1D9CDA0DA8AFF51 |
Windows8.1-KB2961899-x86.msu |
230C64447CC6E4AB3AD7B4D4655B8D8CEFBFBE98 |
E3FAD567AB6CA616E42873D3623A777185BE061232B952938A8846A974FFA7AF |