Вопрос: Есть ли способ проверить AD для определенного пароля?


Есть ли способ, которым я могу проверять AD для проверки конкретного пароля?

Мы использовали стандартный пароль для всех новых пользователей (например, MyPa55word). Я хочу убедиться, что это больше не используется нигде в нашем поместье.

Единственный способ, которым я мог бы подумать, как это сделать, - либо: a) провести аудит каталога как-то для любых пользователей с этим паролем или b) настроить GP, который специально запретил этот пароль (в идеале это побудило бы пользователей сбросить свой пароль. )

У кого-нибудь есть какие-то советы о том, как я могу подойти к этому?

Та,

Бен


8
2018-02-12 15:59


Источник


Я лично думаю, что вы принимаете неправильный подход. Вместо того, чтобы пытаться понять, кто плохой, почему бы не помешать им быть плохим, просто установив параметр «Пользователь должен изменить пароль при следующем входе в систему» ​​для всех вновь созданных учетных записей? Конечно, это было бы самым простым и самым безопасным решением? - Bryan
Метод, предложенный Брайаном, заключается в том, чтобы предотвратить вашу проблему из-за ее появления. - John Gardeniers
Согласились на будущее, но мы пытаемся решить проблему, которая уже произошла. Проблема с подходом «принудительный пользователь для изменения пароля при следующем входе в систему» ​​заключается в том, что большинство наших пользователей работают удаленно - смена паролей с пользователями из офиса вызвала у нас проблемы в прошлом.


Ответы:


Вот пара идей: ни одна из них не очень-то хороша (из-за того, что они могли бы настроить антивирусные или аварийные сигналы обнаружения вторжений):

  • Вы можете сбросить хэши паролей из Active Directory и запустить на них взломщик паролей. Каин и Абель может сделать взлом для вас. Вы можете получить хэши с помощью fgdump. Остерегайтесь - обе эти утилиты, вероятно, отправят тревожные сигналы в вашем антивирусном программном обеспечении.

  • Вы можете написать простой скрипт для повторения вывода списка пользователей, проверяя правильные пароли с помощью команды «NET USE». Используйте что-то вроде этого:

    @echo off

    rem Путь назначения для «сопоставить» «диск» для проверки пароля
    set DESTPATH ​​= \\ SERVER \ Share
    rem Буквенное письмо, используемое для «сопоставления» «диска» для проверки пароля
    SET DRIVE_LETTER = Q:

    доменное имя NetBIOS для тестирования
    установить DOMAIN = DOMAIN

    rem Файл, содержащий список имен пользователей, по одному в строке
    SET USERLIST = userlist.txt

    rem Пароль для тестирования
    SET PASSWORD = MyPa55word

    rem Выходной файл
    SET OUTPUT = output.txt

    если существует "% DRIVE_LETTER% \." goto _letter_used

    for / f %% i в (% USERLIST%) делают (
        net use% DRIVE_LETTER%% DESTPATH% / USER:% DOMAIN% \ %% i% PASSWORD%

        если существует "% DRIVE_LETTER% \." echo %% i пароль% PASSWORD% >>% OUTPUT%

        net use% DRIVE_LETTER% / d / y
    )

    goto end

    : _letter_used
    echo% DRIVE_LETTER% уже используется. Измените его на бесплатную букву диска и снова запустите.

    :конец

Поместите список пользователей в «userlist.txt» (по одному имени пользователя в строке), установите переменные в верхней части скрипта, чтобы ссылаться на путь, которым пользователь должен иметь возможность «сопоставить» диск и убедиться, что На компьютере, на котором вы его запускаете, нет других «дисков», «сопоставленных» с целевым сервером (поскольку ПК с Windows разрешает только один набор учетных данных для одновременного подключения клиентов SMB к заданному серверу).

Как я уже сказал, любой метод, вероятно, не очень хорошая идея. > Улыбка <


1
2018-02-12 16:39



если вы сбросили хэши, установив учетную запись, чтобы иметь свой пароль по умолчанию, вы узнаете, что это за хэш, и можете просто искать, что вы не можете? - xenny
Вы, сэр, легенда. Не думаю, что я очень хорошо объяснил этот вопрос, но это именно то, что мне нужно. Был после быстрой свалки всех с этим конкретным паролем, чтобы я мог дискретно заставить их их менять. Большое спасибо!


Нет официального способа просмотра паролей пользователей (это возможно, но вы должны вникать в ... утилит безопасности). Вероятно, лучше всего подойти к этому из угла возраста пароля. Звучит так, как если бы вы могли сравнить дату создания пользователя с датой последнего изменения пароля, а если есть совпадение, переключите поле «изменение пароля на следующий логин».


8
2018-02-12 16:05



Ах ... очень приятное решение! - blank3


создайте общий ресурс, когда вас попросят ввести пароль при использовании сети. затем напишите сценарий, который пытается сопоставить общий ресурс со всеми именами пользователей и стандартным pw. таким образом, нет входа в систему, и вы не нарушаете политику


1
2018-02-12 16:13



Это то, что мой сценарий в моем ответе, в основном. - Evan Anderson


Вы должны посмотреть на Джон Потрошитель - его утилита для взлома паролей. Вы можете запустить его в режиме атаки по словарю, который берет список паролей из текстового файла. Ваш список слов может состоять только из вашего пароля по умолчанию.

Должно быть довольно быстро, возможно, быстрее, чем share + connect через скрипт пароля.


1
2018-02-12 16:29





Вы можете попробовать найти способ сценария попытки входа в общий ресурс или ресурс, который будет пытаться использовать этот «стандартный» пароль для каждого пользователя в списке, например, пакетный файл, а затем регистрировать, какие из них были успешными. Но это была бы большая работа для одного аудита, если вы не крупный бизнес с большим количеством учетных записей. Там могут быть какие-то средства защиты от серых шляп, но я не знаю, сколько вы им доверяете.

Возможно, вы сможете получить утилиту проверки паролей со шпионской атакой (l0phtcrack?) И использовать только свой пароль по умолчанию в качестве пользовательского словаря. Это может сделать все быстрее и легче.

Это становится скучным, так как эти утилиты - это инструменты, которые помогают как больно. Некоторые вредоносные сканеры будут отмечать их, даже если вы используете их в законных целях. Windows не имеет большого количества встроенных средств проверки паролей для администраторов, поскольку она была настроена специально, чтобы администраторы могли сбросить или очистить пароли, но не знали, что такое «потерянные» или «забытые» пароли.


0
2018-02-12 16:11





Я бы установил Enforce историю паролей на большое число (скажем, 10) и либо уменьшил возраст пароля до 30, либо установил пароль для истечения срока действия для всех пользователей. Следующее, что нужно сделать, это посмотреть учетные записи служб и сбросить их пароли. Если у вас большая среда, это будет болезненным (таким образом, новые учетные записи управляемых служб в 2008 году). Я согласен с Bart в том, что утилиты, которые могут получить пароль, часто представляют большую проблему, чем они того стоят. Надеемся, вы находитесь в среде, где они позволят вам истекать через пароли через регулярные промежутки времени, и в этом случае этот пароль обязательно уйдет вовремя, если у вас установлена ​​история паролей.


0
2018-02-12 16:28





Я использовал pwdump 6 в прошлом, чтобы сбрасывать хэши паролей.

Создайте учетную запись заблаговременно с паролем. Если пользователи используют тот же пароль, пароль хеш-пароля для пользователей должен быть одинаковым. Просто убедитесь, что у вас есть разрешения, поскольку хэши паролей чувствительны, поскольку есть такие инструменты, как радужные таблицы размером несколько ГБ и позволяют людям находить пароль пользователя из хэша.

Linux и Unix-системы предотвращают использование радужных таблиц, поскольку они часто добавляют соль, чтобы хэш-таблицы для одной системы не могли использоваться для второй системы.

Я работал в компании, прошедшей аудит крупной фирмы, которую они предложили прекратить предоставлять общие пароли при настройке пользователей, так как они часто также получают групповые назначения. Значит, кто-то, зная, что начинал г-н Смит, мог попытаться войти в систему со стандартным именем пользователя для john smith вместе с стандартный пароль.

отметка


0
2018-02-14 03:53