امروز تصمیم گرفتم براساس سوال یکی از دوستان در سایت ITPro مبنی بر تغییر پسورد لوکال ادمین در شبکه های دامین ، نکته ای امنیتی را متذکر بشم. همانطور که میدانید یکی از کارهای لازم جهت بالا بردن امنیت شبکه تغییر پسورد Local Administrator و یا هر یوزر لوکالی که عصو این گروه می باشد تا کاربران فقط اجازه لاگین از طریق یوزرهای دامینی را داشته باشند.
قطعا اولین راهی که به ذهن آدم می رسد استفاده از Group Ploicy می باشد که جناب مهندس شمس آبادی زحمت کشیدن و مطلبی با عنوان تغییر رمز Local Users از طریق Group Policy در شبکه های دامین تهیه نمودن ، ولی اخیرا مایکروسافت مقاله و بسته امنیتی با عنوان MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege ارائه نموده و آسیب پذیری این روش را اعلام نموده است ،حتما با خودتان می گویید این حفره امنیتی چگونه باعث ناامن شدن پسووردها می شود.
شما وقتی از طریق GPO اقدام به آپدیت کردن پسورد ادمین می کنید با چنین پیغامی مواجه می شوید که به ما اخطار می دهد این پسوورد در دایرکتوری SYSVOL ذخیره می شود و امکان آشکارسازی آن نیز می باشد(البته با اینکه مایکروسافت برای پسووردها از رمزگزاری AES 256 استفاده می کند ولی باز روشهایی پیدا میشه که این پسوردهای پیچیده رو دیکد می کند)
این فایل در دایرکتوری گروپ پالسی با پسوند XML ذخیره می شود، خوب بیایید یک نگاهی به این فایل بیندازیم همانطور که می بینید تمامی تنظیمات در این فایل ذخیره شده و پسوورد را نیز برایتان با رنگ زرد مشحص کردم ( پسورد استفاده شده ITPro1394 می باشد ولی اینجا به صورت هش شده نمایش داده شده است)
خوب بیایید یک گام جلوتر بریم همانطور که در تصویر زیر می بینید با یک اسکریپت ساده در Powershell به راحتی این پسوورد قابلیت شکسته شدن را دارد(به همین راحتی)
البته هدف از نوشتن این نکته رمزگشایی پسورد نیست بلکه این یک حفره امنیتی است که حتی خود مایکروسافت نیز به آن اشاره کرده و بیشتر جنبه ی افزایش امنیت شبکه را دارد.این همه توصیح دادم تا به یک روش ایمن جهت تغییر پسووردها برسیم اونم استفاده از ابزار PsTools است که خود مایکروسافت آن را ارائه داده است ، خوب خیلی خلاصه وار نحوه ی عملکرد آن را توصیح می دهم:
بعد از دانلود این ابزار کافیه در پوشه مذکور در یک جای خالی با نگه داشتن Shift و کلیک راست کردن گزینه open command windows here را انتخاب نموده تا وارد محیط CMD بشوید.
قالب عمکرد این ابزار به این شکله:
[pspasswd [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] Username [NewPassword
برای تغییر پسوورد یک سیستم از این دستور استفاده کنید :
"pspasswd \\computer-name Local-administrator-account-name “New-Password
برای چند سیستم :
"pspasswd \\computer1-name , computer2-name , computer3-name Local-administrator-account-name “New-Password
برای تمام سیستمهای شبکه خود:
"pspasswd \\* Local-administrator-account-name “New-Password
برای چند سیستم خاص :
"pspasswd \\@ITPro.txt Local-administrator-account-name “New-Password
(این فایل ITPro.txt حاوی نام کامپیوترهای مورد نظر می باشد که در هر خط به صورت جدا نوشته شده است)
به عنوان مثال :
pspasswd \\Omid-Notebook administrator ITPro1394