MS14-025: Luka w preferencjach zasad grupy umożliwia podniesienie uprawnień: 13 maja 2014

Ważne zmiany

Akcja: tworzenie lub zamienianie

• Pola Nazwa użytkownika, Hasło i Potwierdź hasło są wyłączone.

• Gdy administrator otworzy dowolną istniejącą pozycję preferencji zawierającą hasło lub spróbuje zapisać w niej dowolne zmiany, zostanie mu wyświetlone okno dialogowe z ostrzeżeniem.

Akcja: aktualizowanie

• Pola Hasło i Potwierdź hasło są wyłączone.

• Gdy administrator otworzy dowolną istniejącą pozycję preferencji zawierającą hasło lub spróbuje zapisać w niej dowolne zmiany, zostanie mu wyświetlone okno dialogowe z ostrzeżeniem.

Akcja: usuwanie

• Brak zmian w zachowaniu

Obejścia problemu

Osobom, które wcześniej polegały na preferencjach zasad grupy na potrzeby ustawiania haseł administratorów lokalnych, udostępniony został poniższy skrypt, który jest bezpieczną alternatywą dla atrybutu CPassword. Tę zawartość należy skopiować i zapisać w nowym pliku programu Windows PowerShell. Następnie należy uruchomić ten skrypt zgodnie z instrukcjami w jego sekcji .EXAMPLE.

Firma Microsoft podaje przykłady programowania wyłącznie do celów informacyjnych, bez jakichkolwiek gwarancji wyrażonych wprost lub w sposób dorozumiany. Dotyczy to także, ale nie wyłącznie, gwarancji przydatności handlowej lub do określonego celu. W tym artykule zakłada się, że czytelnik zna prezentowany język programowania oraz narzędzia używane do tworzenia i debugowania procedur. Pracownicy pomocy technicznej firmy Microsoft mogą wyjaśnić funkcję konkretnej procedury. Nie będą jednak modyfikować tych przykładów ani dodawać żadnej funkcji i konstruować nowych procedur w celu dostosowania ich do konkretnych potrzeb użytkownika.

function Invoke-PasswordRoll
{
<#
.SYNOPSIS

Za pomocą tego skryptu można ustawiać hasła losowe jako hasła kont lokalnych na komputerach zdalnych. Kombinacja nazwa_użytkownika/hasło/serwer zostanie zapisana w pliku CSV. Hasła do kont zapisane w pliku CSV można zaszyfrować za pomocą hasła administratorów w celu zapewnienia, że hasła do kont nie są zapisywane na dysku w postaci zwykłego tekstu. Zaszyfrowane hasła można odszyfrować za pomocą innej funkcji z tego pliku: ConvertTo-CleartextPassword


Function: Invoke-PasswordRoll
Author: Microsoft
Version: 1.0

.DESCRIPTION

Za pomocą tego skryptu można ustawiać hasła losowe jako hasła kont lokalnych na komputerach zdalnych. Kombinacja nazwa_użytkownika/hasło/serwer zostanie zapisana w pliku CSV. Hasła do kont zapisane w pliku CSV można zaszyfrować za pomocą hasła administratorów w celu zapewnienia, że hasła do kont nie są zapisywane na dysku w postaci zwykłego tekstu. Zaszyfrowane hasła można odszyfrować za pomocą innej funkcji z tego pliku: ConvertTo-CleartextPassword

.PARAMETER ComputerName

Tablica komputerów, dla których za pomocą komunikacji zdalnej programu PowerShell ma zostać uruchomiony skrypt.

.PARAMETER LocalAccounts

Tablica kont lokalnych, których hasła należy zmienić.

.PARAMETER TsvFileName

Plik, w którym mają zostać zapisane kombinacje nazwa_użytkownika/hasło/serwer.

.PARAMETER EncryptionKey

Hasło do zaszyfrowania pliku TSV. Stosowane jest szyfrowanie AES. Zaszyfrowane zostaną tylko hasła zapisane w pliku TSV. Nazwa użytkownika i nazwa serwera będą miały postać zwykłego tekstu.

.PARAMETER PasswordLength

Długość haseł generowanych losowo dla kont lokalnych.

.PARAMETER NoEncryption

Nie szyfruj haseł do kont zapisanych w pliku TSV. Spowoduje to zapisanie haseł na dysku w postaci zwykłego tekstu.

.EXAMPLE

. .\Invoke-PasswordRoll.ps1 #Załadowanie funkcji w tym pliku skryptu
Invoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator","CustomLocalAdmin") -TsvFileName "LocalAdminCredentials.tsv" -EncryptionKey "Password1"

Nawiązanie połączeń ze wszystkimi komputerami zapisanymi w pliku „computerlist.txt”. Jeśli w systemie jest obecne konto lokalne „administrator” lub „CustomLocalAdmin”, hasło tego konta jest zmieniane na losowo wygenerowane hasło o długości (domyślnej) 20 znaków. Kombinacje nazwa_użytkownika/hasło/serwer są zapisywane w pliku LocalAdminCredentials.tsv. Hasła do kont są szyfrowane algorytmem AES za pomocą hasła „Password1”.

.EXAMPLE

. .\Invoke-PasswordRoll.ps1 #Załadowanie funkcji w tym pliku skryptu
Invoke-PasswordRoll -ComputerName (Get-Content computerlist.txt) -LocalAccounts @("administrator") -TsvFileName "LocalAdminCredentials.tsv" -NoEncryption -PasswordLength 40

Nawiązanie połączeń ze wszystkimi komputerami zapisanymi w pliku „computerlist.txt”. Jeśli w systemie jest obecne konto lokalne „administrator”, hasło tego konta jest zmieniane na losowo wygenerowane hasło o długości 40 znaków.
Kombinacje nazwa_użytkownika/hasło/serwer są zapisywane w pliku LocalAdminCredentials.tsv.
.NOTES
Wymagania: - Musi być zainstalowany składnik PowerShellv2 lub nowsza wersja. - We wszystkich systemach, dla których zostanie uruchomiony skrypt, musi być włączona komunikacja zdalna programu PowerShell.

Zachowanie skryptu: - Jeśli w systemie istnieje konto lokalne, ale nie określono go w parametrze LocalAccounts, skrypt wyświetli na ekranie ostrzeżenie z informacją o istnieniu tego konta. W takim przypadku działanie skryptu będzie kontynuowane. - Jeśli w parametrze LocalAccounts określono konto lokalne, ale nie istnieje ono na komputerze, nic się nie wydarzy (NIE zostanie utworzone konto). - Za pomocą zawartej w tym pliku funkcji ConvertTo-CleartextPassword można odszyfrować hasła przechowywane w postaci zaszyfrowanej w pliku TSV. - Jeśli nie można nawiązać połączenia z serwerem określonym w parametrze ComputerName, program PowerShell zwróci komunikat o błędzie. - Firma Microsoft zaleca firmom regularne zmienianie wszystkich haseł do kont lokalnych i domenowych.

#>
[CmdletBinding(DefaultParameterSetName="Encryption")]
Param(
[Parameter(Mandatory=$true)]
[String[]]
$ComputerName,

[Parameter(Mandatory=$true)]
[String[]]
$LocalAccounts,

[Parameter(Mandatory=$true)]
[String]
$TsvFileName,

[Parameter(ParameterSetName="Encryption", Mandatory=$true)]
[String]
$EncryptionKey,

[Parameter()]
[ValidateRange(20,120)]
[Int]
$PasswordLength = 20,

[Parameter(ParameterSetName="NoEncryption", Mandatory=$true)]
[Switch]
$NoEncryption
)


#Załadowanie wszelkich potrzebnych klas .net
Add-Type -AssemblyName "System.Web" -ErrorAction Stop


#To jest kod scriptblock, który zostanie wykonany na każdym komputerze określonym w elemencie ComputerName
$RemoteRollScript = {
Param(
[Parameter(Mandatory=$true, Position=1)]
[String[]]
$Passwords,

[Parameter(Mandatory=$true, Position=2)]
[String[]]
$LocalAccounts,

#Ta część umożliwia zarejestrowanie nazwy serwera, z którym połączył się skrypt. Niekiedy powstaje zamieszanie przy rekordach DNS, dlatego warto to zapisać.
[Parameter(Mandatory=$true, Position=3)]
[String]
$TargettedServerName
)

$LocalUsers = Get-WmiObject Win32_UserAccount -Filter "LocalAccount=true" | Foreach {$_.Name}

#Sprawdzenie, czy na komputerze są jakieś konta użytkowników, których hasła nie zostaną zmienione przez ten skrypt
foreach ($User in $LocalUsers)
{
if ($LocalAccounts -inotcontains $User)
{
Write-Warning "Server: '$($TargettedServerName)' has a local account '$($User)' whos password is NOT being changed by this script"
}
}

#Zmiana hasła dla każdego konta lokalnego istniejącego na tym serwerze
$PasswordIndex = 0
foreach ($LocalAdmin in $LocalAccounts)
{
$Password = $Passwords[$PasswordIndex]

if ($LocalUsers -icontains $LocalAdmin)
{
try
{
$objUser = [ADSI]"WinNT://localhost/$($LocalAdmin), user"
$objUser.psbase.Invoke("SetPassword", $Password)

$Properties = @{
TargettedServerName = $TargettedServerName
Username = $LocalAdmin
Password = $Password
RealServerName = $env:computername
}

$ReturnData = New-Object PSObject -Property $Properties
Write-Output $ReturnData
}
catch
{
Write-Error "Error changing password for user:$($LocalAdmin) on server:$($TargettedServerName)"
}
}

$PasswordIndex++
}
}


#Wygenerowanie hasła na kliencie uruchamiającym ten skrypt, nie na komputerze zdalnym. W składniku .NET Client Profile nie jest dostępna przestrzeń System.Web.Security. Dzięki wykonaniu tego wywołania # na kliencie uruchamiającym skrypt pełne środowisko wykonawcze .NET musi być zainstalowane tylko na jednym komputerze (a nie w każdym systemie, dla którego zmieniane są hasła).
function Create-RandomPassword
{
Param(
[Parameter(Mandatory=$true)]
[ValidateRange(20,120)]
[Int]
$PasswordLength
)

$Password = [System.Web.Security.Membership]::GeneratePassword($PasswordLength, $PasswordLength / 4)

#Nie powinny tu występować żadne błędy, ale na wszelki wypadek dodano zabezpieczenia
if ($Password.Length -ne $PasswordLength)
{
throw new Exception("Password returned by GeneratePassword is not the same length as required. Required length: $($PasswordLength). Generated length: $($Password.Length)")
}

return $Password
}


#Główna funkcjonalność — wygenerowanie haseł i skomunikowanie się zdalne z komputerami w celu zmiany haseł określonych kont lokalnych
if ($PsCmdlet.ParameterSetName -ieq "Encryption")
{
try
{
$Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider
$SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))
}
catch
{
Write-Error "Error creating TSV encryption key" -ErrorAction Stop
}
}

foreach ($Computer in $ComputerName)
{
#Dla każdego konta powinno zostać wygenerowane jedno hasło, które można zmienić
$Passwords = @()
for ($i = 0; $i -lt $LocalAccounts.Length; $i++)
{
$Passwords += Create-RandomPassword -PasswordLength $PasswordLength
}

Write-Output "Connecting to server '$($Computer)' to roll specified local admin passwords"
$Result = Invoke-Command -ScriptBlock $RemoteRollScript -ArgumentList @($Passwords, $LocalAccounts, $Computer) -ComputerName $Computer
#Jeśli jest używane szyfrowanie, przed zapisaniem na dysku zaszyfrowanie hasła za pomocą klucza dostarczonego przez użytkownika
if ($Result -ne $null)
{
if ($PsCmdlet.ParameterSetName -ieq "NoEncryption")
{
$Result | Select-Object Username,Password,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation
}
else
{
#Odfiltrowanie zwróconych pozycji $null
$Result = $Result | Select-Object Username,Password,TargettedServerName,RealServerName

foreach ($Record in $Result)
{
$PasswordSecureString = ConvertTo-SecureString -AsPlainText -Force -String ($Record.Password)
$Record | Add-Member -MemberType NoteProperty -Name EncryptedPassword -Value (ConvertFrom-SecureString -Key $SecureStringKey -SecureString $PasswordSecureString)
$Record.PSObject.Properties.Remove("Password")
$Record | Select-Object Username,EncryptedPassword,TargettedServerName,RealServerName | Export-Csv -Append -Path $TsvFileName -NoTypeInformation
}
}
}
}
}function ConvertTo-CleartextPassword
{
<#
.SYNOPSIS
Za pomocą tej funkcji można odszyfrować hasła zapisane w postaci zaszyfrowanej przez funkcję Invoke-PasswordRoll.

Function: ConvertTo-CleartextPassword
Author: Microsoft
Version: 1.0

.DESCRIPTION
Za pomocą tej funkcji można odszyfrować hasła zapisane w postaci zaszyfrowanej przez funkcję Invoke-PasswordRoll.


.PARAMETER EncryptedPassword

Zaszyfrowane hasło zapisane w pliku TSV.

.PARAMETER EncryptionKey

Hasło, za pomocą którego przeprowadzono szyfrowanie.


.EXAMPLE. .\Invoke-PasswordRoll.ps1 #Załadowanie funkcji w tym pliku skryptu
ConvertTo-CleartextPassword -EncryptionKey "Password1" -EncryptedPassword 76492d1116743f0423413b16050a5345MgB8AGcAZgBaAHUAaQBwADAAQgB2AGgAcABNADMASwBaAFoAQQBzADEAeABjAEEAPQA9AHwAZgBiAGYAMAA1ADYANgA2ADEANwBkADQAZgAwADMANABjAGUAZQAxAGIAMABiADkANgBiADkAMAA4ADcANwBhADMAYQA3AGYAOABkADcAMQA5ADQAMwBmAGYANQBhADEAYQBjADcANABkADIANgBhADUANwBlADgAMAAyADQANgA1ADIAOQA0AGMAZQA0ADEAMwAzADcANQAyADUANAAzADYAMAA1AGEANgAzADEAMQA5ADAAYwBmADQAZAA2AGQA"

Odszyfrowanie zaszyfrowanego hasła zapisanego w pliku TSV.

#>
Param(
[Parameter(Mandatory=$true)]
[String]
$EncryptedPassword,

[Parameter(Mandatory=$true)]
[String]
$EncryptionKey
)

$Sha256 = new-object System.Security.Cryptography.SHA256CryptoServiceProvider
$SecureStringKey = $Sha256.ComputeHash([System.Text.UnicodeEncoding]::Unicode.GetBytes($EncryptionKey))

[SecureString]$SecureStringPassword = ConvertTo-SecureString -String $EncryptedPassword -Key $SecureStringKey
Write-Output ([System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($SecureStringPassword)))
} Administratorzy mogą dodawać konta administratorów lokalnych do komputerów, tworząc grupę usługi Active Directory i dodając ją do lokalnej grupy Administratorzy za pomocą pozycji Preferencje zasad grupy -> Grupa lokalna. Ta akcja nie powoduje buforowania poświadczeń. Odpowiednie okno dialogowe przypomina następujące. To obejście wymaga połączenia z usługami domenowymi Active Directory, gdy użytkownik jest zalogowany przy użyciu tych poświadczeń.

Ważne zmiany

Akcja: tworzenie, aktualizowanie lub zamienianie

• Pola Nazwa użytkownika, Hasło i Potwierdź hasło są wyłączone.

Akcja: usuwanie

• Brak zmian w zachowaniu

Obejścia problemu

Zamiast stosowania metody hasła do uwierzytelniania można używać Eksploratora Windows do zarządzania uprawnieniami udziału i do przydzielania uprawnień użytkownikom. Uprawnienia folderu można kontrolować za pomocą obiektów usługi Active Directory.

Ważne zmiany

Uruchamianie: bez zmian, automatyczne lub ręczne

• Pola Hasło i Potwierdź hasło są wyłączone.

• Administrator może używać tylko wbudowanych kont.

Uruchamianie: wyłączanie

• Brak zmian w zachowaniu

Nowe okno dialogowe

• Administratorzy próbujący skorzystać z kont użytkowników innych niż wbudowane na potrzeby tego konta otrzymują następujące ostrzeżenie:

Obejścia problemu

Nadal można uruchamiać usługi z poziomu konta systemowego. Uprawnienia usług można zmienić w sposób udokumentowany w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

256345 Jak skonfigurować ustawienia zasad grupy w celu ustawiania zabezpieczeń dla usług systemowych (strona może być w języku angielskim)

Uwaga Jeśli usługi, która ma zostać skonfigurowana, nie ma, należy skonfigurować ustawienia na komputerze, na którym ta usługa działa.

Ważne zmiany

Akcja: tworzenie, aktualizowanie lub zamienianie

• Po wybraniu opcji Uruchom niezależnie od tego, czy użytkownik jest zalogowany nie pojawia się już okno dialogowe monitujące administratora o poświadczenia.

• Pole wyboru Nie przechowuj hasła jest wyłączone. Domyślnie to pole też jest zaznaczone.

Akcja: usuwanie

Brak zmian w zachowaniu

Obejścia problemu

Do zadań typu „Zaplanowane zadanie (przynajmniej system Windows 7)” i „Zadanie natychmiastowe (przynajmniej system Windows 7)” administratorzy mogą używać określonych kont użytkowników, które są zalogowane. Ewentualnie mogą jedynie mieć dostęp do zasobów lokalnych jako ci użytkownicy. Te zadania nadal mogą być uruchamiane w kontekście usługi lokalnej.

Ważne zmiany

Akcja: tworzenie, aktualizowanie lub zamienianie

• Pole wyboru Uruchom jako jest wyłączone. Dlatego pola Nazwa użytkownika, Hasło i Potwierdź hasło są wyłączone.

Akcja: usuwanie

Brak zmian w zachowaniu

Obejścia problemu

W przypadku pozycji „Zaplanowane zadanie” i „Zadanie natychmiastowe (Windows XP)” zaplanowane zadania należy uruchamiać przy użyciu uprawnień, które są obecnie dostępne dla usługi lokalnej.

Ważne zmiany

Akcja: tworzenie, aktualizowanie lub zamienianie

• Pola Nazwa użytkownika, Hasło i Potwierdź hasło są wyłączone:

Akcja: usuwanie

• Brak zmian w zachowaniu

Obejścia problemu

Nie są dostępne żadne obejścia problemu. Ta pozycja preferencji nie zapisuje już poświadczeń w celu umożliwienia dostępu do źródeł danych chronionych hasłami.

Wykrywanie preferencji z atrybutem CPassword

Ten skrypt musi zostać uruchomiony w katalogu lokalnym na kontrolerze domeny, który ma zostać oczyszczony. Tę zawartość należy skopiować i zapisać w nowym pliku programu Windows PowerShell. Następnie należy odszukać dysk systemowy i uruchomić ten skrypt zgodnie z instrukcjami dotyczącymi jego używania.

<#
.SYNOPSIS

Obiekty zasad grupy w domenie mogą mieć preferencje zapisujące hasła na potrzeby różnych zadań, jak na przykład:

1. Źródła danych 2.
Mapowania dysków 3. Użytkownicy lokalni 4. Zaplanowane zadania (XP i wyższego poziomu) 5. Usługi
Te hasła są przechowywane w woluminie SYSVOL jako część preferencji zasad grupy i nie są bezpieczne z powodu słabego szyfrowania (32-bajtowego szyfrowania AES). Dlatego nie zaleca się wdrażania takich preferencji w środowisku domeny i zaleca się usunięcie już istniejących. Ten skrypt ma ułatwić administratorowi odnalezienie zawierających hasła preferencji zasad grupy w woluminie SYSVOL domeny.

.DESCRIPTION
Ten skrypt powinien zostać uruchomiony na kontrolerze domeny lub komputerze klienckim zainstalowanym z Narzędziami administracji zdalnej serwera w celu wyświetlenia wszystkich preferencji zawierających hasła wraz z odpowiednimi informacjami o obiekcie zasad grupy, nazwie preferencji oraz ścieżce GPEdit, w której zdefiniowano dane preferencje.

Po uzyskaniu listy dotkniętych problemem preferencji można je usunąć za pomocą edytora w Konsoli zarządzania zasadami grupy.

.SYNTAXGet-SettingsWithCPassword.ps1 [-Path <String>] .EXAMPLEGet-SettingsWithCPassword.ps1 -Path %WinDir%\SYSVOL\domain

Get-SettingsWithCPassword.ps1 -Path <GPO Backup Folder Path>

.NOTES
Jeśli nie zostanie odnaleziony moduł PS zasad grupy, informacje wynikowe będą zawierać identyfikatory GUID obiektów zasad grupy, a nie ich nazwy. Ten skrypt można uruchomić na kontrolerze domeny lub można go ponownie uruchomić na komputerze klienckim po zainstalowaniu Narzędzi administracji zdalnej serwera i włączeniu modułu zasad grupy. Ewentualnie można uzyskać nazwy obiektów zasad grupy na podstawie ich identyfikatorów GUID za pomocą polecenia cmdlet Get-GPO.

.LINK
http://go.microsoft.com/fwlink/?LinkID=390507

#>

#---------------------------------------------------------------------------------------------------------------- # Parametry wejściowe #--------------------------------------------------------------------------------------------------------------
param(
[string]$Path = $(throw "-Path is required.") # Ścieżka katalogu, w którym znajdują się preferencje zasad grupy.
)

#---------------------------------------------------------------------------------------------------------------

$isGPModuleAvailable = $false
$impactedPrefs = { "Groups.xml", "ScheduledTasks.xml","Services.xml", "DataSources.xml", "Drives.xml" }

#---------------------------------------------------------------------------------------------------------------- # zaimportowanie modułu zasad grupy, jeśli jest dostępny #----------------------------------------------------------------------------------------------------------------
if (-not (Get-Module -name "GroupPolicy"))
{
if (Get-Module -ListAvailable |
Where-Object { $_.Name -ieq "GroupPolicy" })
{
$isGPModuleAvailable = $true
Import-Module "GroupPolicy"
}
else
{
Write-Warning "Unable to import Group Policy module for PowerShell. Therefore, GPO guids will be reported.
Run this script on DC to obtain the GPO names, or use the Get-GPO cmdlet (on DC) to obtain the GPO name from GPO guid."
}
}
else
{
$isGPModuleAvailable = $true
}

Function Enum-SettingsWithCpassword ( [string]$sysvolLocation )
{
# Ścieżki drzewa Konsoli zarządzania zasadami grupy
$commonPath = " -> Preferences -> Control Panel Settings -> "
$driveMapPath = " -> Preferences -> Windows Settings -> "

# Cykliczne pobranie wszystkich plików xml w lokalizacji SYVOL
$impactedXmls = Get-ChildItem $sysvolLocation -Recurse -Filter "*.xml" | Where-Object { $impactedPrefs -cmatch $_.Name }


# Każdy plik xml zawiera wiele pozycji preferencji. Iterowanie przez poszczególne pozycje preferencji w celu sprawdzenia, # czy dana pozycja zawiera atrybut cpassword, i wyświetlenie go.

foreach ( $file in $impactedXmls )
{
$fileFullPath = $file.FullName

# Ustawienie kategorii ścieżki zasad grupy. Jeśli plik znajduje się w folderze komputera (Machine) w woluminie SYSVOL, # ustawienie jest zdefiniowane w konfiguracji komputera. W przeciwnym przypadku # ustawienie należy do konfiguracji użytkownika

if ( $fileFullPath.Contains("Machine") )
{
$category = "Computer Configuration"
}
elseif ( $fileFullPath.Contains("User") )
{
$category = "User Configuration"
}
else
{
$category = "Unknown"
}

# Pobranie zawartości pliku jako kodu XML
try
{
[xml]$xmlFile = get-content $fileFullPath -ErrorAction Continue
}
catch [Exception]{
Write-Host $_.Exception.Message
}

if ($xmlFile -eq $null)
{
continue
}

switch ( $file.BaseName )
{

Groups
{
$gppWithCpassword = $xmlFile.SelectNodes("Groups/User") | where-Object { $_.Properties.cpassword -ne $null}
$preferenceType = "Local Users"
}

ScheduledTasks
{
$gppWithCpassword = $xmlFile.SelectNodes("ScheduledTasks/*") | where-Object { $_.Properties.cpassword -ne $null}
$preferenceType = "Scheduled Tasks"
}

DataSources
{
$gppWithCpassword = $xmlFile.SelectNodes("DataSources/DataSource") | where-Object { $_.Properties.cpassword -ne $null}
$preferenceType = "Data sources"
}

Drives
{
$gppWithCpassword = $xmlFile.SelectNodes("Drives/Drive") | where-Object { $_.Properties.cpassword -ne $null}
$preferenceType = "Drive Maps"
}

Services
{
$gppWithCpassword = $xmlFile.SelectNodes("NTServices/NTService") | where-Object { $_.Properties.cpassword -ne $null}
$preferenceType = "Services"
}

default
{ # oczyszczenie elementów gppWithCpassword i preferenceType dla następnej pozycji.
try
{
Clear-Variable -Name gppWithCpassword -ErrorAction SilentlyContinue
Clear-Variable -Name preferenceType -ErrorAction SilentlyContinue
}
catch [Exception]{}
}
}if ($gppWithCpassword -ne $null)
{
# Utworzenie nazwy obiektu zasad grupy na podstawie identyfikatora GUID wyodrębnionego z elementu filePath
$guidRegex = [regex]"\{(.*)\}"
$match = $guidRegex.match($fileFullPath)

if ($match.Success)
{
$gpoGuid = $match.groups[1].value
$gpoName = $gpoGuid
}
else
{
$gpoName = "Unknown"
}

if($isGPModuleAvailable -eq $true)
{
try
{
$gpoInfo = Get-GPO -Guid $gpoGuid -ErrorAction Continue
$gpoName = $gpoInfo.DisplayName
}
catch [Exception] {
Write-Host $_.Exception.Message
}
}

# wyświetlenie preferencji zawierających atrybut cpassword
foreach ( $gpp in $gppWithCpassword )
{
if ( $preferenceType -eq "Drive Maps" )
{
$prefLocation = $category + $driveMapPath + $preferenceType
}
else
{
$prefLocation = $category + $commonPath + $preferenceType
}

$obj = New-Object -typeName PSObject
$obj | Add-Member –membertype NoteProperty –name GPOName –value ($gpoName) –passthru |
Add-Member -MemberType NoteProperty -name Preference -value ($gpp.Name) -passthru |
Add-Member -MemberType NoteProperty -name Path -value ($prefLocation)

Write-Output $obj

}
} # koniec: if $gppWithCpassword } # koniec: foreach $file } # koniec funkcji: Enum-PoliciesWithCpassword

#----------------------------------------------------------------------------------- # Sprawdzenie, czy ścieżka jest prawidłowa. Wyliczenie wszystkich ustawień zawierających atrybut cpassword. #-----------------------------------------------------------------------------------
if (Test-Path $Path )
{
Enum-SettingsWithCpassword $Path
}
else
{
Write-Warning "No such directory: $Path"
}

Przykład zastosowania (założenie: dysk systemowy to C)

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | Format-List
Uwaga Należy pamiętać, że jako obiektu docelowego ścieżki zamiast domeny można także użyć dowolnej kopii zapasowej obiektu zasad grupy.

Skrypt wykrywania generuje listę podobną do następującej:



W przypadku dłuższych list warto rozważyć zapisanie wyników w pliku:

.\Get-SettingsWithCPassword.ps1 –path “C:\Windows\SYSVOL\domain” | ConvertTo-Html > gpps.html

Usuwanie preferencji z atrybutem CPassword

W celu usunięcia preferencji zawierających dane CPassword zaleca się skorzystanie z Konsoli zarządzania zasadami grupy (GPMC, Group Policy Management Console) na kontrolerze domeny lub kliencie z zainstalowanymi Narzędziami administracji zdalnej serwera. W tych konsolach można w pięciu krokach usunąć dowolne preferencje. W tym celu wykonaj następujące czynności:

1. W Konsoli zarządzania zasadami grupy otwórz pozycję preferencji zawierającą dane CPassword.

2. Zmień akcję na Usuń lub Wyłącz, odpowiednio do danej pozycji preferencji.

3. Kliknij przycisk OK, aby zapisać zmiany.

4. Poczekaj na wykonanie jednego lub dwóch cykli odświeżania zasad grupy, aby wprowadzone zmiany zostały przekazane do klientów.

5. Po zastosowaniu zmian na wszystkich klientach usuń daną pozycję preferencji.

6. Powtórz kroki od 1 do 5, stosownie do potrzeb, w celu oczyszczenia całego środowiska. Gdy skrypt wykrywania nie zwróci już żadnych wyników, będzie to koniec pracy.