Passworte in Gruppenrichtlinienobjekten entfernen

Autor: Norbert Fehlauer - vom 02.09.2015 - Kategorie(n): Anleitungen Produkte

Passworte in Gruppenrichtlinienobjekten entfernen

Autor: Norbert Fehlauer
 
Wer kennt das nicht? Einfach per Gruppenrichtlinien das Kennwort des lokalen Administrators ändern oder Tasks mit Nutzer anlegen usw. usf. Seit Windows Server 2008 konnte man mit der Technologie von Policymaker aus der DesktopStandard-Übernahme viele Aufgaben mittels GPO konfigurieren. Der Nachteil daran war, dass die verwendeten Kennworte zwar verschlüsselt im sysvol-Verzeichnis abgelegt waren, allerdings muss jeder Client diese natürlich wieder entschlüsseln können. Also kann immer nur symmetrisch verschlüsselt werden.

Der Schlüssel ist bei Microsoft entsprechend dokumentiert http://msdn.microsoft.com/en-us/library/cc422924.aspx. Damit ist grundsätzlich jeder mit Zugriff auf das SYSVOL-Verzeichnis in der Lage die Kennworte auch auszulesen: http://www.gruppenrichtlinien.de/artikel/get-gpppasswordps1-kennworte-im-xml-in-plaintext-umwandeln/ und http://www.faq-o-matic.net/2014/07/02/ms14-025-das-ende-der-gespeicherten-gpo-passwoerter/

Aus diesem Grund hat Microsoft schon im Mai 2014 mit einem Patch die Funktion zur Eingabe von Passworten entfernt. https://support.microsoft.com/de-de/kb/2962486. Das hatte allerdings zur Folge, dass bereits vergebene Kennworte auch nicht mehr entfernt werden konnten und seitdem im SYSVOL-Nirvana schwebten und damit immer noch entschlüsselt werden können. Das von Microsoft im obigen Link empfohlene Vorgehen zum Entfernen ist relativ unhandlich durchzuführen und führt dazu, dass offenbar viele das Problem ignorieren oder nicht bis zum Ende durchführen (https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security).

Deswegen wurde von Darren Mar-Elias Firma „SDM Software“ ein kleines Freeware Tool veröffentlicht, welches alle notwendigen Schritte mittels weniger Klicks durchführt. Das Tool hört auf den etwas sperrigen Namen „SDM Software GP Preference Password Remediation Tool 1.0“.

Nach der Installation wird das Tool gestartet und mittels Klick auf Suche (ggf. nach der Eingabe der zu durchsuchenden Domäne) erfährt man, ob man Aufräumbedarf hat, oder nicht.

(klick-vergrößern)

Die einzelnen GPOs können dann mittels Rechtsklick und „Remdeiate CPassword Entries“ bereinigt werden. Das Tool legt vorher ein Backup jedes zu bearbeitenden GPOs an. Sollte man keine betroffenen GPOs im Einsatz haben, erhält man eine entsprechende Rückmeldung.

(klick-vergrössern)

Es gibt also keinen Grund mehr, diese Sicherheitslücke weiterhin offen zu lassen.

Mehr über die Arbeitsweise und weiterführende Informationen dazu finden sich im Blogeintrag beschrieben: 
Remediating Group Policy Preference Passwords

https://sdmsoftware.com/group-policy-blog/security-related/remediating-group-policy-preference-passwords 

Microsoft selbst hat inzwischen eine Möglichkeit für das Handling lokaler Administratorkennworte veröffentlicht. Mit Hilfe der Local Administrator Password Solution erhält man eine umfassende Lösung. Siehe hierzu folgenden Artikel:

http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher, bzw. Öffnet externen Link in neuem FensterMicrosoft - Local Administrator Password Solution (LAPS)