潜在明文密码

high

描述

为方便开展工作,一些管理员可能会将敏感信息存储于自己正在操作的 AD 对象属性中。由于域中任何用户都可以读取其中大多数属性,存储密码或密钥可能会导致凭据被盗,从而危及受监视的基础结构。

解决方案

组织中任何用户均可读取大多数 AD 对象的字段。IT 管理员可以使用其中一些字段来存储机密信息(如密码、密钥等)。这些字段会暴露潜在的有效凭据,因此必须清除。

参见

Microsoft - Active Directory Top class

BlackHills InfoSec - Gathering secrets with AD Explorer

Microsoft - Active Directory User class

指标详细信息

名称: 潜在明文密码

代码名称: C-CLEARTEXT-PASSWORD

严重程度: High

攻击者已知工具

SysInternal: AD Explorer