域用户密码是否可以以明文导出,如何导出? 域用户密码默认是以不可逆的加密方式存储的,通过第三方工具如copypwd导出的密码是密文。但通过在微软technet上查询到,是可以在密码策略中设置为“启用域中的可逆加密密码”的。问这样设置以后是否就有某种方法将密码以明文的方式导出呢?启用域中的可逆加密密码的真真含义是?
回答:我们对您的问题的理解是您想用明文的方法去导出domain users的密码。让我们首先分析:“启用域中的可逆加密密码“的意思是在DC存储密码并加密时采用了可逆的方法,我们知道类似于RC4的加密方法在存储时会用MD5方法校验和加密,通过这种方法加密的数据时是不能用反逆的方法破解。所以在上面的策略启用后,在导出密码时还是会加密的,也就是经过加密算法加密的数据,并不是明文的可读的密码。
When you change your password on a domain that has reversible encryption enabled, a password filter called RASSFM.DLL is used to store the password using reversible encryption. The key that is used to do this is G$MSRADIUSCHAPKEY, which is stored as a global LSA secret. This key is decrypted using a static key (hardcoded in the DLL). The result of this operation is combined with a 16-byte random value (generated every time someone changes their password) and that key is used to encrypt a Unicode version of the password using the RC4 algorithm.
Best Practices for Enforcing Password Policies
http://technet.microsoft.com/en-us/magazine/ff741764.aspxStore passwords using reversible encryption
http://technet.microsoft.com/en-us/library/cc784581(WS.10).aspx张方方 微软全球技术支持中心