如果在Active Directory中以可逆encryption方式存储密码,pipe理员/开发人员将如何提取和解密此密码?
具体来说,我指的是这个设置。
虽然Dirk的答案是正确的,但RevDump工具只能在Windows server 2003上运行,因为新版本的Windows以不同的方式存储可逆加密的密码。 因此,我创建了一个支持Windows server 2008+的新工具 。
最简单的用法示例:
Get-ADReplAccount -SamAccountName April -Domain Adatum -server LON-DC1 示例输出(部分):
DistinguishedName: CN=April Reagan,OU=IT,DC=Adatum,DC=com Sid: S-1-5-21-3180365339-800773672-3767752645-1375 SamAccountName: April SamAccountType: User NTHash: 92937945b518814341de3f726500d4ff SupplementalCredentials: ClearText: Pa$$w0rd
以下系列的博客文章解释了一些细节:
使用可逆加密存储的密码:它是如何工作的(第1部分)
使用可逆加密存储的密码:它是如何工作的(第2部分)
这个博客的作者Niels Teusink也提供了他的工具RevDump的源代码供下载。
不用说,可逆加密不应该在全球范围内使用,只能在非常特殊的情况下使用。