可能的純文字密碼

high

說明

管理員可將機密資訊儲存於 AD 物件屬性,以減輕工作負擔。不過,由於任何網域使用者皆可讀取這些屬性,儲存密碼或密碼金鑰可能會導致憑證竊取風險和損及基礎架構。

解決方案

組織中的任何使用者皆可讀取大部分 AD 物件中的屬性。IT 管理員可透過特定屬性來儲存機密資訊,例如密碼、金鑰和其他憑證。為了防止可能暴露有效憑證的情形,IT 管理員必須避免將這類機密資訊儲存在物件屬性中。

另請參閱

BlackHills InfoSec - Gathering secrets with AD Explorer

Microsoft - Active Directory User class

Microsoft - Active Directory Top class

指標詳細資料

名稱: 可能的純文字密碼

代碼名稱: C-CLEARTEXT-PASSWORD

嚴重性: High

MITRE 攻擊資訊:

攻擊者已知工具

SysInternal: AD Explorer