声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

       域用户密码是否可以以明文导出,如何导出? 域用户密码默认是以不可逆的加密方式存储的,通过第三方工具如copypwd导出的密码是密文。但通过在微软technet上查询到,是可以在密码策略中设置为“启用域中的可逆加密密码”的。问这样设置以后是否就有某种方法将密码以明文的方式导出呢?启用域中的可逆加密密码的真真含义是?

回答:我们对您的问题的理解是您想用明文的方法去导出domain users的密码。让我们首先分析:“启用域中的可逆加密密码“的意思是在DC存储密码并加密时采用了可逆的方法,我们知道类似于RC4的加密方法在存储时会用MD5方法校验和加密,通过这种方法加密的数据时是不能用反逆的方法破解。所以在上面的策略启用后,在导出密码时还是会加密的,也就是经过加密算法加密的数据,并不是明文的可读的密码。

这个策略经常用户一些应用软件在特殊的环境中使用,比如IIS,CHAP。同时您可以参考

When you change your password on a domain that has reversible encryption enabled, a password filter called RASSFM.DLL is used to store the password using reversible encryption. The key that is used to do this is G$MSRADIUSCHAPKEY, which is stored as a global LSA secret. This key is decrypted using a static key (hardcoded in the DLL). The result of this operation is combined with a 16-byte random value (generated every time someone changes their password) and that key is used to encrypt a Unicode version of the password using the RC4 algorithm.

当你改变你的域用户的密码后(在上面的策略enable的情况下),一个称为RASSFM.DLL的文件用户执行可逆密码加密的后续操作。此文件用RC4算法把一个KEY(已经被DLL加密过的)和用户修改的密码(自动形成了一个16bit的加密文件)加密。所以最后用户的密码在AD数据库里还是加密过的,但是对于具体的加密算法我们不知很清楚,这些可能要咨询相应的开发人员。所以对您的问题,我们没有办法直接导出用户的密文密码。下面的文章共您参考:

Best Practices for Enforcing Password Policies
http://technet.microsoft.com/en-us/magazine/ff741764.aspx

Store passwords using reversible encryption
http://technet.microsoft.com/en-us/library/cc784581(WS.10).aspx

张方方 微软全球技术支持中心