Início / server / Perguntas / 1144499
Accepted
David Trevor
Asked: 2023-09-26 23:01:05 +0800 CST

Novo LAPS – O descriptografador de senha autorizado não atualiza as permissões conforme esperado

  • 772
  1. Criou um novo grupo DOMAIN\LapsAdmins. Atualmente vazio.
  2. Configurei o GPO Configure Authorized password decryptorspara apontar para meu grupoDOMAIN\LapsAdmins
  3. Forçado server1a criar uma nova senha criptografada para a conta de administrador local
  4. Get-LapsADPassword server1 -AsPlainText -IncludeHistory

Como esperado, meu usuário DOMAIN\dtrevornão consegue descriptografar a senha.

  1. Adicionado DOMAIN\dtrevorao grupoDOMAIN\LapsAdmins
  2. Fazer logoff e logon com o usuárioDOMAIN\dtrevor
  3. Get-LapsADPassword server1 -AsPlainText -IncludeHistory

Como esperado, meu usuário DOMAIN\dtrevorpode descriptografar e visualizar todas as senhas, tanto a senha atual quanto todo o histórico de senhas

  1. Removido DOMAIN\dtrevordo grupoDOMAIN\LapsAdmins
  2. Fazer logoff e logon com o usuárioDOMAIN\dtrevor
  3. Correu gpupdate /force_server1
  4. Forçado server1a criar uma nova senha criptografada para a conta de administrador local
  5. Get-LapsADPassword server1 -AsPlainText -IncludeHistory

Inesperadamente, meu usuário DOMAIN\dtrevorainda pode descriptografar e visualizar todas as senhas, incluindo a recém-gerada e também todo o histórico de senhas. Por que?

windows

1 respostas

  1. Best Answer

    Esta pergunta foi respondida por Jay Simmons da Microsoft na postagem oficial do blog sobre o novo LAPS. A resposta está na seção de comentários na página 7.

    O comportamento mencionado na pergunta se deve ao mecanismo de cache do DPAPI.

    Você provavelmente está vendo esse comportamento devido ao comportamento padrão do DPAPI, que armazena em cache as chaves de descriptografia recuperadas do AD. Experimente isto:

    1. Remova o usuário do grupo de descriptografia autorizado

    2. Libere os tickets do usuário (purga de klist) (ou faça logoff\logon novamente)

    3. Exclua todas as chaves DPAPI\KDS armazenadas em cache do diretório de perfil local do usuário (procure um diretório oculto no perfil, acredito que seja algo como "AppData\Local\Microsoft\Crypto\KdsKey").

    4. Execute novamente a tentativa de descriptografia de senha - agora ela deve falhar.

    Isso significa que, enquanto a chave armazenada em cache persistir na máquina local, o usuário ainda poderá descriptografar senhas antigas. Na prática, isso não parece grande coisa porque quando você deseja revogar o acesso, você também removeria a ACL dos campos do AD, para que o usuário não possa acessar o valor criptografado em primeiro lugar.

    • 0

relate perguntas