Có cách nào để kiểm toán AD cho một mật khẩu cụ thể không?

8

Có cách nào tôi có thể kiểm toán AD để kiểm tra mật khẩu cụ thể không?

Chúng tôi đã từng sử dụng mật khẩu "tiêu chuẩn" cho tất cả người dùng mới (ví dụ MyPa55word ). Tôi muốn đảm bảo rằng nó không còn được sử dụng ở bất cứ đâu trên bất động sản của chúng tôi.

Cách duy nhất tôi có thể nghĩ làm thế nào để làm điều này là một) kiểm tra thư mục bằng cách nào đó cho bất kỳ người dùng nào có mật khẩu này hoặc b) thiết lập một GP không cho phép mật khẩu này (lý tưởng là sau đó sẽ nhắc người dùng đặt lại mật khẩu của họ. )

Bất cứ ai có bất cứ lời khuyên về cách tôi có thể tiếp cận điều này?

Ta

Bến

windows  security  active-directory  group-policy 
3
Cá nhân tôi nghĩ rằng bạn đang dùng sai phương pháp. Thay vì cố gắng xem ai xấu, tại sao không ngăn họ xấu, bằng cách chỉ cần đặt tùy chọn 'Người dùng phải thay đổi mật khẩu ở lần đăng nhập tiếp theo' cho tất cả các tài khoản mới được tạo?, Chắc chắn đây sẽ là giải pháp dễ dàng và an toàn nhất?
Bryan
Phương pháp Bryan gợi ý là có đặc biệt để ngăn chặn vấn đề của bạn không bao giờ bị cắt xén.
John Gardeniers
Đồng ý cho tương lai, nhưng chúng tôi đang cố gắng khắc phục một sự cố đã xảy ra. Vấn đề với cách tiếp cận "buộc người dùng thay đổi mật khẩu ở lần đăng nhập tiếp theo" là hầu hết người dùng của chúng tôi làm việc từ xa - việc thay đổi mật khẩu với người dùng ngoài văn phòng đã khiến chúng tôi gặp vấn đề trong quá khứ.

Câu trả lời:

1

Dưới đây là một vài ý tưởng-- không ai trong số họ thực sự rất tốt (từ việc họ có thể đặt ra các báo động phát hiện chống vi-rút hoặc xâm nhập):

  • Bạn có thể loại bỏ băm mật khẩu ra khỏi Active Directory và chạy trình bẻ khóa mật khẩu trên chúng. Cain và Abel có thể bẻ khóa cho bạn. Bạn có thể lấy băm ra với fgdump. Coi chừng-- cả hai tiện ích này có thể sẽ gióng lên hồi chuông cảnh báo trong phần mềm chống vi-rút của bạn.

  • Bạn có thể viết một tập lệnh đơn giản để lặp lại đầu ra của danh sách người dùng, kiểm tra mật khẩu hợp lệ bằng lệnh "NET USE". Sử dụng một cái gì đó như thế này:

    @echo tắt

    rem Đường dẫn đích đến "ánh xạ" một "ổ đĩa" để kiểm tra mật khẩu
    đặt DESTPATH ​​= \\ SERVER \ Share
    rem Drive letter được sử dụng để "ánh xạ" một "ổ đĩa" để kiểm tra mật khẩu
    THIẾT LẬP DRIVE_LETTER = Q:

    rem tên miền NetBIOS để kiểm tra
    đặt DOMAIN = DOMAIN

    Rem Tệp chứa danh sách tên người dùng, mỗi dòng trên một dòng
    THIẾT LẬP USERLIST = userlist.txt

    mật khẩu để kiểm tra
    THIẾT LẬP PASSWORD = MyPa55word

    tập tin đầu ra
    THIẾT LẬP OUTPUT = output.txt

    nếu tồn tại "% DRIVE_LETTER% \." goto _letter_use

    cho / f %% i trong (% USERLIST%) làm (
        sử dụng ròng% DRIVE_LETTER %% DESTPATH% / NGƯỜI DÙNG:% DOMAIN% \ %% i% PASSWORD%

        nếu tồn tại "% DRIVE_LETTER% \." mật khẩu %% i là% PASSWORD% >>% OUTPUT%

        sử dụng ròng% DRIVE_LETTER% / d / y
    )

    kết thúc goto

    : _letter_use
    echo% DRIVE_LETTER% đã được sử dụng. Thay đổi nó thành một ký tự ổ đĩa miễn phí và chạy lại.

    :kết thúc

Đặt danh sách người dùng vào "userlist.txt" (một tên người dùng trên mỗi dòng), đặt các biến ở đầu tập lệnh để chỉ đường dẫn mà người dùng sẽ có thể "ánh xạ" một "ổ đĩa" và đảm bảo rằng PC bạn đang chạy nó không có bất kỳ "ổ đĩa" "ánh xạ" nào khác đến máy chủ đích (vì PC Windows chỉ cho phép một bộ thông tin đăng nhập được sử dụng cho các kết nối máy khách SMB đến một máy chủ nhất định tại một thời điểm).

Như tôi đã nói-- một trong hai phương pháp có lẽ không phải là một ý tưởng tuyệt vời. > cười <

Evan Anderson
nguồn
1
nếu bạn bỏ băm, đặt tài khoản để có mật khẩu mặc định, bạn sẽ biết hàm băm của nó là gì và bạn có thể tìm kiếm không?
xenny
Ngài là một huyền thoại. Tôi không nghĩ rằng tôi đã giải thích câu hỏi rất hay - nhưng đây chính xác là những gì tôi cần. Sau khi mọi người nhanh chóng sử dụng mật khẩu đặc biệt này, tôi có thể tùy ý họ thay đổi chúng. Cảm ơn rất nhiều!
8

Không có cách chính thức để xem mật khẩu người dùng (có thể, nhưng bạn phải đi sâu vào ... tiện ích bảo mật). Có lẽ tốt nhất để tiếp cận điều này từ góc độ mật khẩu. Có vẻ như bạn có thể so sánh ngày tạo của người dùng với ngày mật khẩu được thay đổi lần cuối và nếu có trùng khớp, hãy chuyển đổi 'thay đổi mật khẩu trên trường đăng nhập tiếp theo'.

Kara Marfia
nguồn
À ... giải pháp rất hay!
blank3
1

tạo một chia sẻ nơi bạn đang được yêu cầu nhập mật khẩu khi sử dụng mạng. sau đó viết một tập lệnh cố gắng ánh xạ chia sẻ với tất cả tên người dùng và pw mặc định. Bằng cách này, không có đăng nhập là không cần thiết và bạn sẽ không phá vỡ chính sách

raerek
nguồn
Đó là những gì kịch bản của tôi trong câu trả lời của tôi, về cơ bản.
Evan Anderson
1

Bạn nên xem John the Ripper - một tiện ích bẻ khóa mật khẩu. Bạn có thể chạy nó trong chế độ tấn công từ điển trong đó có một danh sách các mật khẩu từ một tệp văn bản. Danh sách từ của bạn có thể chỉ bao gồm mật khẩu mặc định của bạn.

Nên khá nhanh, có thể nhanh hơn chia sẻ + kết nối qua tập lệnh mật khẩu được đề xuất.

Christopher_G_Lewis
nguồn
0

Bạn có thể thử tìm cách để kịch bản đăng nhập cố gắng chia sẻ hoặc tài nguyên sẽ thử mật khẩu "chuẩn" đó cho mỗi người dùng trong danh sách, như cách tiếp cận tệp bó, sau đó đăng nhập tệp nào thành công. Nhưng đây sẽ là rất nhiều công việc cho một cuộc kiểm toán nếu bạn không phải là một doanh nghiệp lớn với số lượng tài khoản lớn. Có thể có một số tiện ích bảo mật mũ xám ngoài kia, nhưng tôi không biết bạn tin tưởng chúng đến mức nào.

Bạn có thể có được tiện ích kiểm tra mật khẩu bằng một cuộc tấn công dựa trên từ điển (l0phtcrack?) Và chỉ sử dụng mật khẩu mặc định của bạn làm từ điển tùy chỉnh. Điều đó có thể làm cho mọi thứ nhanh hơn và dễ dàng hơn.

Điều này trở nên tồi tệ vì những tiện ích này là những công cụ giúp đỡ nhiều như bị tổn thương. Một số máy quét phần mềm độc hại sẽ gắn cờ chúng ngay cả khi bạn đang sử dụng chúng cho mục đích hợp pháp. Windows không có nhiều tiện ích kiểm tra mật khẩu tích hợp cho quản trị viên, vì nó được thiết lập cụ thể để quản trị viên có thể đặt lại hoặc để trống mật khẩu nhưng không biết mật khẩu "bị mất" hoặc "bị quên" là gì.

Bart Silverstrim
nguồn
0

Tôi sẽ đặt Thực thi lịch sử mật khẩu thành một số cao (giả sử 10) và giảm tuổi mật khẩu của tôi xuống 30 hoặc tập lệnh mật khẩu hết hạn cho tất cả người dùng. Điều tiếp theo cần làm là xem xét các tài khoản dịch vụ và đặt lại mật khẩu của họ. Nếu bạn có một môi trường rộng lớn, điều này sẽ gây đau đớn (do đó, các tài khoản dịch vụ được quản lý mới trong năm 2008). Tôi đồng ý với Bart rằng các tiện ích có thể lấy lại mật khẩu thường gặp nhiều rắc rối hơn giá trị. Hy vọng rằng bạn đang ở trong một môi trường nơi họ sẽ cho phép bạn hết hạn mật khẩu theo định kỳ trong trường hợp mật khẩu này chắc chắn sẽ biến mất theo thời gian, miễn là bạn đã đặt lịch sử mật khẩu.

Jim B
nguồn
0

Tôi đã sử dụng pwdump 6 trong quá khứ để kết xuất băm mật khẩu.

Tạo một tài khoản trước thời hạn với mật khẩu. Nếu người dùng đã sử dụng cùng một mật khẩu, mật khẩu băm đổ ra cho người dùng sẽ giống nhau. Chỉ cần đảm bảo rằng bạn có quyền vì băm mật khẩu rất nhạy cảm vì có các công cụ như bảng cầu vồng có kích thước vài gb và cho phép mọi người tìm mật khẩu của người dùng từ hàm băm.

Các hệ thống Linux và unix ngăn các bảng cầu vồng vì chúng thường thêm muối để đảm bảo các bảng băm cho một hệ thống không thể được sử dụng cho một hệ thống thứ hai.

Tôi đã làm việc tại một công ty được kiểm toán bởi một công ty lớn, họ đề nghị chúng tôi ngừng cung cấp mật khẩu phổ biến khi thiết lập người dùng vì họ cũng thường nhận được bài tập nhóm - có nghĩa là ai đó biết john smith đang bắt đầu có thể đăng nhập bằng tên người dùng chuẩn cho john smith cùng với mật khẩu chuẩn.

dấu

Đánh dấu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.