组策略首选项

对手可能会尝试在组策略首选项（GPP）中找到不安全的凭据。GPP是允许管理员创建嵌入凭据的域策略的工具。这些策略允许管理员设置本地账户。(引用: Microsoft GPP 2016) 这些组策略存储在域控制器上的SYSVOL中。这意味着任何域用户都可以查看SYSVOL共享并解密密码（使用已公开的AES密钥）。(引用: Microsoft GPP Key) 以下工具和脚本可用于从组策略首选项XML文件中收集和解密密码文件： * Metasploit的后期利用模块：post/windows/gather/credentials/gpp * Get-GPPPassword(引用: Obscuresecurity Get-GPPPassword) * gpprefdecrypt.py 在SYSVOL共享上，对手可以使用以下命令枚举潜在的GPP XML文件：dir /s * .xml