Mittwoch, 28. Mai 2014

MS14-025 - Das Ende der gespeicherten Passwörter

Gruppenrichtlinien bieten die Möglichkeit Passwörter für gewisse Aufgaben zu setzen.

Hierbei handelt es sich um folgende Gruppenrichtlinieneinstellungen
(Group Policy Preferences):



  •     Laufwerkzuordnungen
  •     Lokale Benutzer und Gruppen
  •     Geplante Aufgaben
  •     Dienste
  •     Datenquellen 

XML als Basis
Group Policy Preferences basieren auf XML Dateien.
Passwörter die für die oben genannten Einstellungen gespeichert werden, werden im SYSVOL innerhalb der betreffenden XML Dateien in einem Attribut gespeichert. Hierbei handelt es sich um das Attribut "cPassword".
Das Passwort wird nicht im Klartext in die XML Datei geschrieben. 
Das Passwort ist mittels 32-Byte AES verschlüsselt.
Diese Verschlüsselung ist relativ schwach.

Das zusätzliche Problem: 
Der Schlüssel wurde veröffentlicht und ist somit frei zugänglich.

Speichert man mittels GPP ein Passwort im SYSVOL, so wird ein Warnhinweis angezeigt.


Im Übrigen wird diese Meldung unter Windows 8 / 8.1 nicht in die jeweilige Sprache übersetzt und ist folglich immer Englisch :-)

Passwörter per GPP vermeiden
Da standardmäßig alle "Authentifizierten Benutzer" Lesezugriff auf diese Dateien haben, stellt dies also ein großes Sicherheitsrisiko dar.

MS14-025 - Microsoft reagiert
Microsoft hat nun auf diese Sicherheitslücke reagiert und ein Sicherheitsbulletin veröffentlicht. 

Eine ausführliche Beschreibung von Microsoft und weiterführende Downloadlinks findet ihr hier:

http://support.microsoft.com/kb/2962486/de


GPP Password Finder
Mit diesem Update wird einem zwar die Möglichkeit genommen, zukünftig Passwörter per GPPs zu setzen, jedoch bleiben die bestehenden Passwörter unberührt.

Policies die ein cPassword Attribut enthalten könnt ihr mittels PowerShell ermitteln. Zusätzlich habt ihr die Möglichkeit meinen "GPP Password Finder" zu verwenden. Dieser basiert nicht auf PowerShell.

https://onedrive.live.com/redir?resid=62A6D19FFDA7F555%21172

Das Programm benutzt ihr natürlich auf eure eigene Verantwortung.




Weiterführende Links
Zwei sehr gute Artikel findet ihr bei MVP Alan Burchill.



http://www.grouppolicy.biz/2014/05/remove-cpassword-values-active-directory/

http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/

5 Kommentare:

  1. Und jetzt ?
    Microsoft preist genau diese Features seit langer Zeit an den GPOs an und wir als mittelständischer IT-Outsourcer arbeiten sehr viel damit. Vor allem im Xenapp-Umfeld trifft uns dies nun sehr hart. Klaro, es muss etwas getan werden. Aber das ausgrauen der Funktionen ist definitiv keine Lösung sondern blinder Aktionismus. Wahrscheinlich kann man die Verschlüsselung des SYSVOLs deshalb nicht erhöhen um eine Abwärtskompatibilität weiter zu gewährleisten, doch ich verlange eine Alternative. zb. einen Patch der den Hinweis enthält, dass Clients unterhalb Windows Vista danach keine GPOs mehr verarbeiten können.

    AntwortenLöschen
  2. Hallo. Gibt es mittlerweile eine neue Möglichkeit, die Funktion wieder einzusetzen?

    AntwortenLöschen
  3. Hallo!

    Die "Verschlüsselung des SYSVOLs deshalb nicht erhöhen (...)" bringt nichts, da der Schlüssel zum Ver-/Entschlüsseln bekannt ist und nach dem aktuellen Verfahren auch bekannt sein muss, da es sonst nicht funktionieren würde.

    Typischerweise werden bei unseren Kunden fast immer Domänen-Admin-Konten von Ihnen selbst oder anderen Dienstleistern verteilt, was bei unserer Dienstleistung (Penetrationstest) natürlich stets ein "gefundenes Fressen" ist, um nach wenigen Minuten Domain-/Enterprise-Administrator zu sein ...

    AntwortenLöschen
  4. Suche auch noch nach wie vor eine Möglichkeit meine geplanten Tasks über GPO wieder zu verteilen :(

    AntwortenLöschen
    Antworten
    1. Hast du einen weg gefunden für die geplanten Tasks??? Sind auch auf der Suche....

      Löschen