如果在Active Directory中使用可逆加密存储密码,管理员/开发人员如何提取和解密此密码?
具体来说,我指的是this设置。
答案 0 :(得分:4)
以下系列博客文章解释了一些细节:
<强> Passwords stored using reversible encryption: how it works (part 1)
<强> Passwords stored using reversible encryption: how it works (part 2)
此博客的作者Niels Teusink也提供了他的工具 RevDump 的源代码供下载。
不用说,可逆加密不应该在全球范围内使用,只能在非常特殊的情况下使用。
答案 1 :(得分:2)
虽然Dirk的答案是正确的,但RevDump工具仅适用于Windows Server 2003,因为较新版本的Windows将可逆加密密码存储在different way中。因此,我创建了一个支持Windows Server 2008 +的新tool。
最简单的用法示例:
Get-ADReplAccount -SamAccountName April -Domain Adatum -Server LON-DC1
示例输出(部分):
DistinguishedName: CN=April Reagan,OU=IT,DC=Adatum,DC=com
Sid: S-1-5-21-3180365339-800773672-3767752645-1375
SamAccountName: April
SamAccountType: User
NTHash: 92937945b518814341de3f726500d4ff
SupplementalCredentials:
ClearText: Pa$$w0rd