آسیب پذیری امنیتی تغییر پسورد Local User ها در دومین با GPO

امروز تصمیم گرفتم براساس سوال یکی از دوستان در سایت ITPro مبنی بر تغییر پسورد لوکال ادمین در شبکه های دامین ، نکته ای امنیتی را متذکر بشم. همانطور که میدانید یکی از کارهای لازم جهت بالا بردن امنیت شبکه تغییر پسورد Local Administrator و یا هر یوزر لوکالی که عصو این گروه می باشد تا کاربران فقط اجازه لاگین از طریق یوزرهای دامینی را داشته باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

قطعا اولین راهی که به ذهن آدم می رسد استفاده از Group Ploicy می باشد که جناب مهندس شمس آبادی زحمت کشیدن و مطلبی با عنوان تغییر رمز Local Users از طریق Group Policy در شبکه های دامین تهیه نمودن ، ولی اخیرا مایکروسافت مقاله و بسته امنیتی با عنوان MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege ارائه نموده و آسیب پذیری این روش را اعلام نموده است ،حتما با خودتان می گویید این حفره امنیتی چگونه باعث ناامن شدن پسووردها می شود.

شما وقتی از طریق GPO اقدام به آپدیت کردن پسورد ادمین می کنید با چنین پیغامی مواجه می شوید که به ما اخطار می دهد این پسوورد در دایرکتوری SYSVOL ذخیره می شود و امکان آشکارسازی آن نیز می باشد(البته با اینکه مایکروسافت برای پسووردها از رمزگزاری AES 256 استفاده می کند ولی باز روشهایی پیدا میشه که این پسوردهای پیچیده رو دیکد می کند)

وب سایت توسینسو

این فایل در دایرکتوری گروپ پالسی با پسوند XML ذخیره می شود، خوب بیایید یک نگاهی به این فایل بیندازیم همانطور که می بینید تمامی تنظیمات در این فایل ذخیره شده و پسوورد را نیز برایتان با رنگ زرد مشحص کردم ( پسورد استفاده شده ITPro1394 می باشد ولی اینجا به صورت هش شده نمایش داده شده است)

وب سایت توسینسو

خوب بیایید یک گام جلوتر بریم همانطور که در تصویر زیر می بینید با یک اسکریپت ساده در Powershell به راحتی این پسوورد قابلیت شکسته شدن را دارد(به همین راحتی)

وب سایت توسینسو

البته هدف از نوشتن این نکته رمزگشایی پسورد نیست بلکه این یک حفره امنیتی است که حتی خود مایکروسافت نیز به آن اشاره کرده و بیشتر جنبه ی افزایش امنیت شبکه را دارد.این همه توصیح دادم تا به یک روش ایمن جهت تغییر پسووردها برسیم اونم استفاده از ابزار PsTools است که خود مایکروسافت آن را ارائه داده است ، خوب خیلی خلاصه وار نحوه ی عملکرد آن را توصیح می دهم:

بعد از دانلود این ابزار کافیه در پوشه مذکور در یک جای خالی با نگه داشتن Shift و کلیک راست کردن گزینه open command windows here را انتخاب نموده تا وارد محیط CMD بشوید.

وب سایت توسینسو

قالب عمکرد این ابزار به این شکله:

  [pspasswd [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] Username [NewPassword

برای تغییر پسوورد یک سیستم از این دستور استفاده کنید :

"pspasswd \\computer-name   Local-administrator-account-name   “New-Password

برای چند سیستم :

"pspasswd \\computer1-name , computer2-name , computer3-name  Local-administrator-account-name “New-Password

برای تمام سیستمهای شبکه خود:

"pspasswd \\* Local-administrator-account-name  “New-Password

برای چند سیستم خاص :

"pspasswd \\@ITPro.txt  Local-administrator-account-name  “New-Password

(این فایل ITPro.txt حاوی نام کامپیوترهای مورد نظر می باشد که در هر خط به صورت جدا نوشته شده است)

به عنوان مثال :

pspasswd \\Omid-Notebook administrator ITPro1394

امید سراب
امید سراب

کارشناس شبکه و مدیریت شبکه های مایکروسافتی ، آشنا به مباحث VoIP - Cisco - Mikrotik - Firewall - Linux و دارای مدارک بین المللی 2008 MCITP و Vmware Virtualization Fundamental و Computer Network Design علاقمند به مجازی سازی و توسعه شبکه های مجازی مبتنی بر VMware و مباحث امنیتی در حوزه شبکه می باشم، همچنین به صورت پیشرفته در زمینه گرافیک و طراحی پرتره فعالیت دارم.

12 مهر 1394 این مطلب را ارسال کرده

نظرات