C'è un modo per controllare AD per una particolare password?

8

Esiste un modo in cui posso controllare AD per verificare una determinata password?

Usavamo una password "standard" per tutti i nuovi utenti (ad es. MyPa55word ). Voglio assicurarmi che questo non sia più in uso da nessuna parte nella nostra proprietà.

L'unico modo in cui potrei pensare come fare sarebbe quello di a) controllare la directory in qualche modo per tutti gli utenti con questa password oppure b) impostare un GP che specificamente non ha consentito questa password (idealmente questo richiederebbe quindi agli utenti di reimpostare la propria password. )

Qualcuno ha qualche consiglio su come posso affrontare questo?

Ta,

Ben

windows  security  active-directory  group-policy 
3
Personalmente penso che tu stia adottando un approccio sbagliato. Invece di provare a vedere chi è cattivo, perché non impedirgli di essere cattivo, semplicemente impostando l'opzione "L'utente deve cambiare la password al prossimo accesso" per tutti gli account appena creati? Sicuramente questa sarebbe la soluzione più semplice e sicura?
Bryan,
Il metodo che Bryan suggerisce è lì specificamente per evitare che il tuo problema si ripresenti.
John Gardeniers,
Concordato per il futuro, ma stiamo cercando di risolvere un problema che si è già verificato. Il problema con l'approccio "imponi all'utente di cambiare la password al prossimo accesso" è che la maggior parte dei nostri utenti lavora in remoto - cambiare password con utenti fuori sede ci ha causato problemi in passato.

Risposte:

1

Ecco un paio di idee, nessuna delle quali è davvero ottima (dal punto di vista della possibilità che possano scatenare allarmi anti-virus o di rilevamento delle intrusioni):

  • È possibile scaricare gli hash delle password da Active Directory ed eseguire un cracker di password su di essi. Caino e Abele possono fare il crack per te. Puoi ottenere gli hash con fgdump. Attenzione: entrambe queste utilità probabilmente faranno suonare campanelli d'allarme nel tuo software antivirus.

  • È possibile scrivere un semplice script per scorrere l'output di un elenco utenti, verificando la presenza di password valide utilizzando il comando "NET USE". Usa qualcosa del genere:

    @echo off

    rem Percorso di destinazione per "mappare" un "drive" su per test password
    impostare DESTPATH ​​= \\ SERVER \ Share
    rem Lettera di unità utilizzata per "mappare" un'unità in cui eseguire il test della password
    SET DRIVE_LETTER = Q:

    rem Nome dominio NetBIOS da testare
    impostare DOMAIN = DOMAIN

    rem File contenente un elenco di nomi utente, uno per riga
    SET USERLIST = userlist.txt

    rem Password da testare
    SET PASSWORD = MyPa55word

    rem File di output
    SET OUTPUT = output.txt

    se esiste "% DRIVE_LETTER% \." vai a _letter_used

    per / f %% i in (% USERLIST%) do (
        utilizzo netto% DRIVE_LETTER%% DESTPATH% / USER:% DOMAIN% \ %% i% PASSWORD%

        se esiste "% DRIVE_LETTER% \." echo %% i la password è% PASSWORD% >>% OUTPUT%

        utilizzo netto% DRIVE_LETTER% / d / y
    )

    vai alla fine

    : _letter_used
    echo% DRIVE_LETTER% è già in uso. Modificalo in una lettera di unità gratuita ed esegui nuovamente.

    :fine

Inserisci la lista utenti in "userlist.txt" (un nome utente per riga), imposta le variabili nella parte superiore dello script per fare riferimento a un percorso a cui l'utente dovrebbe essere in grado di "mappare" un "disco" e assicurati che il Il PC su cui lo stai eseguendo non ha altre "unità" "mappate" sul server di destinazione (poiché un PC Windows consente di utilizzare un solo set di credenziali per le connessioni client SMB a un determinato server alla volta).

Come ho detto, entrambi i metodi non sono probabilmente un'ottima idea. > Sorriso <

Evan Anderson
fonte
1
se scarichi gli hash, avendo impostato un account per avere la tua password predefinita, saprai qual è l'hash di esso e puoi semplicemente cercarlo che non puoi?
xenny,
Signore, siete una leggenda. Non credo di aver spiegato molto bene la domanda, ma questo è esattamente ciò di cui avevo bisogno. È stato dopo un rapido dump di tutti con questa particolare password in modo da poterli discretamente cambiarli. Molte grazie!
8

Non esiste un modo ufficiale per visualizzare le password degli utenti (è possibile, ma è necessario approfondire ... utilità di sicurezza). Probabilmente è meglio affrontarlo da un punto di vista dell'età della password. Sembra che tu possa confrontare la data di creazione dell'utente con la data dell'ultima modifica della password, e se c'è una corrispondenza, attiva il campo "cambio password al prossimo accesso".

Kara Marfia
fonte
Ah ... soluzione molto bella!
blank3,
1

creare una condivisione in cui viene richiesta una password quando si utilizza la rete. quindi scrivere uno script che tenti di mappare la condivisione con tutti i nomi utente e il pw predefinito. in questo modo nessun accesso è necessario e non si romperà la politica

raerek
fonte
Questo è ciò che fa la mia sceneggiatura nella mia risposta, in sostanza.
Evan Anderson,
1

Dovresti guardare John lo Squartatore - è un'utilità per decifrare la password. Puoi eseguirlo nella modalità di attacco del dizionario che prende un elenco di password da un file di testo. L'elenco di parole potrebbe essere costituito solo dalla password predefinita.

Dovrebbe essere abbastanza veloce, probabilmente più veloce di share + connect tramite lo script di password proposto.

Christopher_G_Lewis
fonte
0

È possibile provare a trovare un modo per eseguire lo script di un tentativo di accesso a una condivisione o risorsa che proverà quella password "standard" per ciascun utente in un elenco, come un approccio di file batch, quindi registrare quali hanno avuto esito positivo. Ma questo sarebbe molto lavoro per un singolo audit se non sei una grande azienda con un gran numero di account. Potrebbero esserci delle utility di sicurezza con cappello grigio là fuori, ma non so quanto ti fideresti di loro.

Potresti essere in grado di ottenere un'utilità di controllo password con un attacco basato su dizionario (l0phtcrack?) E utilizzare solo la tua password predefinita come dizionario personalizzato. Ciò potrebbe rendere le cose più veloci e più facili.

Questo diventa rischioso in quanto queste utility sono strumenti che aiutano tanto quanto fanno male. Alcuni scanner di malware li segnaleranno anche se li stai usando per scopi legittimi. Windows non ha molto in termini di utilità integrate per il controllo delle password per gli amministratori, poiché è stato impostato appositamente per consentire agli amministratori di reimpostare o svuotare le password senza sapere quali fossero le password "perse" o "dimenticate".

Bart Silverstrim
fonte
0

Vorrei impostare la cronologia delle password su un numero elevato (diciamo 10) e ridurre la mia età della password a 30 o scrivere una password di scadenza per tutti gli utenti. La prossima cosa da fare è guardare gli account dei servizi e reimpostare le loro password. Se hai un ambiente di grandi dimensioni, questo sarà doloroso (quindi i nuovi account dei servizi gestiti nel 2008). Concordo con Bart sul fatto che i programmi di utilità che possono recuperare la password sono spesso più problemi di quanto valgano. Spero che ti trovi in ​​un ambiente in cui ti permetteranno di far scadere le password a intervalli regolari, nel qual caso questa password andrà sicuramente via nel tempo, a patto che tu abbia impostato la cronologia delle password.

Jim B
fonte
0

Ho usato pwdump 6 in passato per scaricare gli hash delle password.

Crea un account in anticipo con la password. Se gli utenti hanno utilizzato la stessa password, l'hash scaricato per gli utenti dovrebbe essere lo stesso. Assicurati solo di avere le autorizzazioni poiché gli hash delle password sono sensibili in quanto esistono strumenti come le tabelle arcobaleno di diverse dimensioni di GB e che consentono alle persone di trovare la password dell'utente dall'hash.

I sistemi Linux e unix impediscono le tabelle arcobaleno poiché spesso aggiungono sale per garantire che le tabelle hash per un sistema non possano essere utilizzate per un secondo sistema.

Ho lavorato presso una società controllata da una grande azienda che mi hanno suggerito di smettere di fornire password comuni durante la configurazione degli utenti poiché spesso ottengono anche incarichi di gruppo - il che significa che qualcuno che sa che John Smith sta iniziando potrebbe tentare di accedere con il nome utente standard di John Smith insieme al password standard.

marchio

Markl
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.