windows2008有一個叫組策略首選項(Group Policy Preference)的新特性.這個特性可以方便管理員在整個域內部署策略.本文會詳細介紹這個組策略首選項的一些缺陷.尤其是當下發的策略包含使用者名稱和認證資訊的時候,一個普通的使用者就可以通過這些資訊或得策略裡的帳號密碼,從而提升自己的許可權甚至控制域內其他計算機。

組策略首選項允許域管理員向域內的計算機推送各種策略.比如登入的時候自動對映網路硬碟,更新內建administrator帳號的密碼,修改登錄檔,啟動程式,新建使用者等等.

更多如何建立部署策略的細節就不多說了.下面是一條更新administrator管理員帳號的策略.如下圖,是一個xml的檔案. 

可以看到這條策略的內容是把administrator賬戶重新命名為locadm.密碼是cpassword欄位,是加密過的.

當一條組策略首選項在域成員上部署之後,比如一臺win7的機器部署了這條更新預設帳號的策略之後,會自動建立一個目錄”C:\Users\All Users\Microsoft\Group Policy\History".部署之後的策略xml檔案就會儲存在這裡.這個例子中路徑是這樣的:

C:\Users\All Users\Microsoft\Group Policy\History{A1C0C41B-D2F8-401B-A5D1-437DA197A809
 
}\Machine\Preferences\Groups\Groups.xml

任何登入的使用者對這個檔案都有讀許可權:

關鍵的問題在於這個密碼雖然是加密的,但是是可以破解的!它使用了256位的AES加密,這個32位元組的key被微軟寫在文件裡了…..

The 32-byte AES key is as follows:
4e 99 06 e8  fc b6 6c c9  fa f4 93 10  62 0f fe e8
f4 96 e8 06  cc 05 79 90  20 9b 09 a4  33 b6 6c 1b

所以任何接觸到這個檔案的使用者都可以輕易的破解出配置檔案中的密碼.

而組策略首選項一般是在較大的域內應用,更改預設密碼這樣的策略一般都是針對多臺計算機下發的.所以獲得了策略中的帳號可能在其他的計算機上同樣有效.

組策略首選項的配置檔案是通過SMB協議下發的,內容沒有加密.這就導致可以監聽流量或得配置資訊,從而得到帳號密碼.下圖是從網路流量中獲取xml配置檔案的截圖:

工具使用

下載地址

工具比較簡單,解密的字串是寫在程式裡的: