50٪ تخفیف روی تمام دوره‌ها!
پایان تخفیف تا:
مشاهده دوره‌ها
  1. توسینسو
  2. سوالات
  3. مایکروسافت
  4. مشکل پالیسی CPassword attribute
0

مشکل پالیسی CPassword attribute

سلام دوستان / عیدتان مبارک

من تو دامینم و از طریق پالیسی یوزری به عنوان ادمین لوکال به کل سیستم های دامین اعمال کرده بودم / حالا که اکتیو را آپدیت کردم و به پالیسی مربوطه برگشتم برای تغییر پسورد آن یوزر ؛ با پیام زیر روبه رو میشوم و بخش پسورد هم غیر فعال شده .... ممنون میشم کمک بفرمایید چگونه باز می توانم پسورد را عوض کنم و اکتیو به حالت قبلی برگرده 

ممنونم

 

پیام کی هنگام کلیک روی پالیسی مذکور نمایش داده میشود :

"This preference requires the CPassword attribute, which is a known security risk. To help protect your environment, some actions may not be available. For further information about CPassword, click Help below."

پرسیده شده در 1398/12/29 توسط
آواتار الهه آسمانی

5 پاسخ

0

دوستان آیا KB آپدیتی که این تنظیمات رو ست کرده اگر پیدا کنم و Uninstall کنم ، درست میشه ؟ مشکل دیگه ای ایجاد نمیکنه و به حالت قبلی باز میگرده ؟؟

در لینک زیر KB های این پالیسی برای سیستم عامل های مختلف آمده :

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-025?redirectedfrom=MSDN

پاسخ در 1399/01/02 توسط
آواتار الهه آسمانی
0

آقای مهندس خیلی ممنونم 

لینکی گذاشتید مگر پاک کردن CPassword از خود سرور اکتیو نیست که به حالت اسبق برگرده ؟ بعد دامین من به چند شعبه خدمات میده و از همین طرق به کلیه سیستم های هر شعبه یک یوزر لوکال ادمین اختصاص داده بودم که مسول it شعبه از آن برای کارها استفاده میکرد .....

حالا 

1- می خوام بدونم با Uninstall کردن اون آپدیت اکتیو که این قدرت را ازم گرفته ، سرور دوباره به حالت قبلی بر میگرده ؟

2- راه دیگری برای برگردان سرور اکتیو به حالت قبلی که بتونم این پالیسی ها ا مجدد ست کنم وجود داره ؟

3- در شعبی که فرسنگ ها دوره چه راهی دارید که روی سیستم ها، یوزر لوکال مشترک تعریف کنم و در اختیار IT شعبه هام بزارم ؟ چون چه بخوام چه نخوام تو شعب نیاز به پسورد لوکال ادمین نیاز میشود

4- بعد من ویندوز سرور دامینم 2008-r2 هست برای راه اندازی LAPS میترسم به مشکلات زیادی بخورم !! چون قطعا نیاز به نصب و آپدیت هایی دارد 

مرسی

پاسخ در 1399/01/02 توسط
آواتار الهه آسمانی
1

۱. بله ولی حذف اون KB یه ریسک امنیتی هستش ... 

۲. تا جایی که میدونم ، خیر.

۳. به جای این کار پیشنهاد می کنم‌ یه گروه Help Desk توی AD ایجاد کنید و یه یوزر توش عضو کنید و با GPP اون گروه رو عضو گروه ادمین لوکال سیستم های کلاینت کنید. اینطوری خیلی امن تر هست ... 

۴. راهکار بالایی رو انجام بدید. 

پاسخ در 1399/01/03 توسط
آواتار امیرحسین کریم پور
1

پیغام هشداری که باهاش مواجه شدید به خاطر آسیب پذیری ای به اسم cPassword هست که مایکروسافت در نسخه های اخیر ویندوز سرور پوشش داده. آسیب پذیری cPassword آسیب پذیری ای هست که پسورد هایی که توسط GPP روی اکانت ها ست میشن توسط الگوریتم خیلی ضعیف AES 32 بیتی به صورت Hash شده توی فایل XML توی پوشه SYSVOL share ذخیره میشن و هر یوزر احرازهویت شده ای توی دامین میتونه بهش دسترسی داشته باشه و پسورد Hash شده رو براحتی dump کنه. شدیدا بهتون پیشنهاد می کنم که cPassword ها رو از توی دامین تون پاک کنید.

راهکار اول اینه که با استفاده از روش زیر میتونید برای یوزر Local Administratror هر کلاینت یه پسورد Random بصورت رمزنگاری شده ست کنید. 

https://www.grouppolicy.biz/2014/05/remove-cpassword-values-active-directory

به عنوان راهکار دوم من شخصا استفاده از LAPS رو برای مدیریت پسورد یوزر ادمین لوکال کلاینت ها ترجیح میدم. مهم ترین مزیتی که LAPS داره اینه که میتونه به صورت دوره ای پسورد ها رو ریست کنه. آموزشش هم توی این سایت هست با کمی سرچ میتونید پیداش کنید.

پاسخ در 1399/01/02 توسط
آواتار امیرحسین کریم پور

پاسخ شما