Хранить пароли, используя обратимое шифрование
Содержит описание рекомендаций, расположения, значений и вопросов безопасности параметра политики безопасности Хранить пароли, используя обратимое шифрование.
Справочные материалы
Параметр политики Хранить пароль, используя обратимое шифрование обеспечивает поддержку приложений, которые используют протоколы, применяющие для проверки подлинности пароль пользователя. Хранение зашифрованных паролей с использованием обратимого шифрования означает, что зашифрованные пароли можно расшифровать. Опытный злоумышленник, который может взломать такое шифрование, может впоследствии выполнить вход на сетевые ресурсы, используя эту взломанную учетную запись. Поэтому никогда не включайте параметр Хранить пароль, используя обратимое шифрование для всех пользователей в домене, если только требования приложений не являются более приоритетными по сравнению с защитой паролей.
Если вы используете протокол CHAP через удаленный доступ или службы проверки подлинности в Интернете (IAS), необходимо включить этот параметр политики. CHAP — это протокол проверки подлинности, который используется через удаленный доступ и сетевые подключения. Дайджест-проверка подлинности в службах IIS также требует включения этого параметра безопасности.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
Установите для параметра Хранить пароль, используя обратимое шифрование значение «Отключено». Если вы используете протокол CHAP через удаленный доступ или службы IAS либо дайджест-проверку подлинности в IIS, следует задать этому параметру значение Включено. Это представляет риск для безопасности при применении этого параметра с помощью групповой политики для каждого пользователя, так как требует открытия соответствующего объекта учетной записи пользователя в оснастке «Active Directory — пользователи и компьютеры».
Примечание
Не включайте этот параметр политики, если только бизнес-требования не являются более приоритетными, чем необходимость защиты паролей.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей\
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Отключено |
Политика контроллера домена по умолчанию |
Отключено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Отключено |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Включение этого параметра политики позволяет операционной системе хранить пароли в формате, который может ослабить общую безопасность.
Меры противодействия
Отключите параметр политики Хранить пароль, используя обратимое шифрование.
Возможные последствия
Если в вашей организации используется протокол CHAP через удаленный доступ или службы IAS либо дайджест-проверка подлинности в IIS, следует включить этот параметр. Это представляет риск для безопасности при применении этого параметра с помощью групповой политики для каждого пользователя, так как требует открытия соответствующего объекта учетной записи пользователя в оснастке «Active Directory — пользователи и компьютеры».