语言:
管理员可以将敏感信息存储在 AD 对象属性中,以简化他们的工作。但是,由于任何域用户都可以读取这些属性,因此存储密码或密钥可能会有凭据被盗的风险,从而危害基础设施。
组织内的任何用户都可以读取大多数 AD 对象中的属性。IT 管理员可能会使用某些属性来存储敏感信息,如密码、密钥和其他凭据。为防止可能发生的有效凭据暴露,他们必须避免在对象属性中存储这类敏感信息。
Microsoft - Active Directory Top class
BlackHills InfoSec - Gathering secrets with AD Explorer
Microsoft - Active Directory User class
名称: 潜在明文密码
代码名称: C-CLEARTEXT-PASSWORD
严重程度: High
策略: TA0006, TA0004, TA0008
技术: T1552, T1078
SysInternal: AD Explorer