none
Windows Server2016 :用可还原的加密来存储密码 RRS feed

  • 问题

  • 【情景描述】:AD域策略:
    用可还原的加密来储存密码

    此安全设置确定操作系统是否使用可还原的加密来储存密码。
    此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
    通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。
    默认值: 禁用。

    诉求:

    1、该策略“用可还原的加密来储存密码”  能否启用?一般用在什么场合?有什么场景用途?

    2、该策略是”启用“生效还是”禁用“生效?

    2019年7月25日 1:33

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您提供的策略:使用可逆的加密存储密码。

    以下是对我们问题的回答:

    >>该策略“用可还原的加密来储存密码”  能否启用?一般用在什么场合?有什么场景用途?

    1. 我们可以这样理解这条策略:

    它为使用(需要用户密码进行身份验证的)协议的应用程序提供支持。

    可逆方式存储加密密码意味着可以解密加密密码。能够破解此加密的技术很高的攻击者可以使用受感染的帐户登录网络资源。

    因此,除非应用程序的要求超过了保护密码信息的需求,否则永远不要对域中的所有用户使用此条策略(即可逆加密的策略)启用存储密码。


    2. 在如下情况下必须使用此策略:
    如果通过远程访问或Internet身份验证服务(IAS,即Internet Authentication Services的缩写)使用质询握手身份验证协议(CHAP,即Challenge Handshake Authentication Protocol的缩写),则必须启用此策略设置。 CHAP是远程访问和网络连接使用的身份验证协议。 Internet信息服务(IIS)中的摘要式身份验证也要求您启用此策略设置。


    3. 我们建议的最佳做法:
    将此策略设置为禁用。 除非以上提到的情况下必须启用此策略。

    提示:除非业务要求超过保护密码信息的需要,否则请勿启用此策略设置。


    >>该策略是”启用“生效还是”禁用“生效?

    该策略是“启用”生效。


    参考文档:

    Store passwords using reversible encryption
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月25日 3:30
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您提供的策略:使用可逆的加密存储密码。

    以下是对我们问题的回答:

    >>该策略“用可还原的加密来储存密码”  能否启用?一般用在什么场合?有什么场景用途?

    1. 我们可以这样理解这条策略:

    它为使用(需要用户密码进行身份验证的)协议的应用程序提供支持。

    可逆方式存储加密密码意味着可以解密加密密码。能够破解此加密的技术很高的攻击者可以使用受感染的帐户登录网络资源。

    因此,除非应用程序的要求超过了保护密码信息的需求,否则永远不要对域中的所有用户使用此条策略(即可逆加密的策略)启用存储密码。


    2. 在如下情况下必须使用此策略:
    如果通过远程访问或Internet身份验证服务(IAS,即Internet Authentication Services的缩写)使用质询握手身份验证协议(CHAP,即Challenge Handshake Authentication Protocol的缩写),则必须启用此策略设置。 CHAP是远程访问和网络连接使用的身份验证协议。 Internet信息服务(IIS)中的摘要式身份验证也要求您启用此策略设置。


    3. 我们建议的最佳做法:
    将此策略设置为禁用。 除非以上提到的情况下必须启用此策略。

    提示:除非业务要求超过保护密码信息的需要,否则请勿启用此策略设置。


    >>该策略是”启用“生效还是”禁用“生效?

    该策略是“启用”生效。


    参考文档:

    Store passwords using reversible encryption
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月25日 3:30
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月29日 7:25
    版主
  • 启用该策略,对现有域有什么影响?
    2019年7月31日 8:22
  • 尊敬的客户,您好!

    正如我上面提到的:

    可逆方式存储加密密码意味着可以解密加密密码能够破解此加密的技术很高的攻击者可以使用受感染的帐户登录网络资源
    因此,除非应用程序的要求超过了保护密码信息的需求,否则永远不要对域中的所有用户使用此条策略(即可逆加密的策略)启用存储密码。

    祝您工作生活愉快。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月1日 9:38
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢? 对于这个问题,还有什么需要帮助的吗?

    感谢您的理解和支持!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月6日 10:35
    版主
  • 尊敬的客户,您好,
     
    感谢您将我的回复标记为答案。很高兴提供的信息对您有用。
     
    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!



     
    此致
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月8日 2:27
    版主