Mittwoch, 28. Mai 2014

MS14-025 - Das Ende der gespeicherten Passwörter

Gruppenrichtlinien bieten die Möglichkeit Passwörter für gewisse Aufgaben zu setzen.

Hierbei handelt es sich um folgende Gruppenrichtlinieneinstellungen
(Group Policy Preferences):



  •     Laufwerkzuordnungen
  •     Lokale Benutzer und Gruppen
  •     Geplante Aufgaben
  •     Dienste
  •     Datenquellen 

XML als Basis
Group Policy Preferences basieren auf XML Dateien.
Passwörter die für die oben genannten Einstellungen gespeichert werden, werden im SYSVOL innerhalb der betreffenden XML Dateien in einem Attribut gespeichert. Hierbei handelt es sich um das Attribut "cPassword".
Das Passwort wird nicht im Klartext in die XML Datei geschrieben. 
Das Passwort ist mittels 32-Byte AES verschlüsselt.
Diese Verschlüsselung ist relativ schwach.

Das zusätzliche Problem: 
Der Schlüssel wurde veröffentlicht und ist somit frei zugänglich.

Speichert man mittels GPP ein Passwort im SYSVOL, so wird ein Warnhinweis angezeigt.


Im Übrigen wird diese Meldung unter Windows 8 / 8.1 nicht in die jeweilige Sprache übersetzt und ist folglich immer Englisch :-)

Passwörter per GPP vermeiden
Da standardmäßig alle "Authentifizierten Benutzer" Lesezugriff auf diese Dateien haben, stellt dies also ein großes Sicherheitsrisiko dar.

MS14-025 - Microsoft reagiert
Microsoft hat nun auf diese Sicherheitslücke reagiert und ein Sicherheitsbulletin veröffentlicht. 

Eine ausführliche Beschreibung von Microsoft und weiterführende Downloadlinks findet ihr hier:

http://support.microsoft.com/kb/2962486/de


GPP Password Finder
Mit diesem Update wird einem zwar die Möglichkeit genommen, zukünftig Passwörter per GPPs zu setzen, jedoch bleiben die bestehenden Passwörter unberührt.

Policies die ein cPassword Attribut enthalten könnt ihr mittels PowerShell ermitteln. Zusätzlich habt ihr die Möglichkeit meinen "GPP Password Finder" zu verwenden. Dieser basiert nicht auf PowerShell.

https://onedrive.live.com/redir?resid=62A6D19FFDA7F555%21172

Das Programm benutzt ihr natürlich auf eure eigene Verantwortung.




Weiterführende Links
Zwei sehr gute Artikel findet ihr bei MVP Alan Burchill.



http://www.grouppolicy.biz/2014/05/remove-cpassword-values-active-directory/

http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/