Apakah ada cara untuk mengaudit AD untuk kata sandi tertentu?

8

Apakah ada cara saya bisa mengaudit AD untuk memeriksa kata sandi tertentu?

Kami dulu menggunakan kata sandi "standar" untuk semua pengguna baru (mis. MyPa55word ). Saya ingin memastikan ini tidak lagi digunakan di mana saja di tanah kami.

Satu-satunya cara saya bisa memikirkan bagaimana melakukan ini adalah dengan a) mengaudit direktori entah bagaimana untuk setiap pengguna dengan kata sandi ini atau b) mengatur dokter umum yang tidak mengizinkan kata sandi ini (idealnya ini akan meminta pengguna untuk mengatur ulang kata sandi mereka. )

Adakah yang punya tips tentang bagaimana saya bisa mendekati ini?

Ta,

Ben

windows  security  active-directory  group-policy 
3
Saya pribadi berpikir Anda mengambil pendekatan yang salah. Alih-alih mencoba melihat siapa yang jahat, mengapa tidak menghentikan mereka dari menjadi buruk, hanya dengan mengatur opsi 'Pengguna harus mengubah kata sandi saat masuk berikutnya' untuk semua akun yang baru dibuat ?, tentunya ini akan menjadi solusi termudah dan paling aman?
Bryan
Metode yang disarankan Bryan adalah secara khusus untuk mencegah masalah Anda agar tidak pernah muncul.
John Gardeniers
Setuju untuk masa depan, tetapi kami berusaha memperbaiki masalah yang sudah terjadi. Masalah dengan pendekatan "memaksa pengguna untuk mengubah kata sandi pada login berikutnya" adalah bahwa sebagian besar pengguna kami bekerja dari jarak jauh - mengubah kata sandi dengan pengguna di luar kantor telah menyebabkan masalah pada kami di masa lalu.

Jawaban:

1

Berikut adalah beberapa ide - tak satu pun dari mereka benar-benar sangat baik (dari perspektif bahwa mereka dapat mematikan alarm anti-virus atau deteksi intrusi):

  • Anda dapat membuang hash kata sandi dari Active Directory dan menjalankan cracker kata sandi. Kain dan Habel dapat melakukan cracking untuk Anda. Anda bisa mengeluarkan hash dengan fgdump. Hati-hati - kedua utilitas ini mungkin akan mematikan alarm di perangkat lunak antivirus Anda.

  • Anda bisa menulis skrip sederhana untuk beralih pada keluaran daftar pengguna, memeriksa kata sandi yang valid menggunakan perintah "NET USE". Gunakan sesuatu seperti ini:

    @echo mati

    rem Jalur tujuan ke "peta" a "drive" ke untuk pengujian kata sandi
    atur DESTPATH ​​= \\ SERVER \ Bagikan
    rem Drive letter yang digunakan untuk "memetakan" a "drive" ke untuk uji kata sandi
    SET DRIVE_LETTER = T:

    rem nama domain NetBIOS untuk diuji
    atur DOMAIN = DOMAIN

    rem File yang berisi daftar nama pengguna, satu nama per baris
    SET USERLIST = userlist.txt

    rem kata sandi untuk menguji
    SET PASSWORD = Kata MyPa55

    rem file Output
    SET OUTPUT = output.txt

    jika ada "% DRIVE_LETTER% \." goto _letter_used

    untuk / f %% i in (% USERLIST%) do (
        penggunaan bersih% DRIVE_LETTER%% DESTPATH% / PENGGUNA:% DOMAIN% \ %% i% PASSWORD%

        jika ada "% DRIVE_LETTER% \." gema %% i kata sandi adalah% PASSWORD% >>% OUTPUT%

        penggunaan bersih% DRIVE_LETTER% / d / y
    )

    sampai akhir

    : _letter_used
    echo% DRIVE_LETTER% sudah digunakan. Ubah ke huruf drive gratis dan jalankan kembali.

    :akhir

Masukkan daftar pengguna ke "userlist.txt" (satu nama pengguna per baris), atur variabel di bagian atas skrip untuk merujuk ke jalur yang harus dapat "dipetakan" oleh seorang pengguna "drive", dan pastikan bahwa PC yang Anda jalankan tidak memiliki "drive" "yang dipetakan" ke server tujuan (karena PC Windows hanya memungkinkan satu set kredensial untuk digunakan untuk koneksi klien SMB ke server yang diberikan pada suatu waktu).

Seperti yang saya katakan - metode mana pun mungkin bukan ide yang bagus. > tersenyum <

Evan Anderson
sumber
1
jika Anda membuang hash, setelah menetapkan akun untuk memiliki kata sandi default Anda, Anda akan tahu apa hash itu dan hanya bisa mencarinya?
xenny
Anda Tuan, adalah legenda. Saya pikir saya tidak menjelaskan pertanyaan dengan sangat baik - tetapi inilah yang saya butuhkan. Apakah setelah pembuangan cepat semua orang dengan kata sandi khusus ini sehingga saya dapat secara diam-diam meminta mereka untuk mengubahnya. Terima kasih banyak!
8

Tidak ada cara resmi untuk melihat kata sandi pengguna (itu mungkin, tetapi Anda harus mempelajari ... utilitas keamanan). Mungkin yang terbaik untuk melakukan pendekatan ini dari sudut usia kata sandi. Sepertinya Anda bisa membandingkan tanggal pembuatan pengguna dengan tanggal kata sandi terakhir diubah, dan jika ada kecocokan, ganti bidang 'ubah kata sandi saat masuk berikutnya'.

Kara Marfia
sumber
Ah ... solusi yang sangat bagus!
blank3
1

buat bagian di mana Anda dimintai kata sandi saat melakukan penggunaan internet. kemudian tulis skrip yang mencoba memetakan pembagian dengan semua nama pengguna dan pw default. dengan cara ini tidak ada log masuk diperlukan dan Anda tidak akan melanggar kebijakan

raerek
sumber
Itulah yang dilakukan naskah saya dalam jawaban saya, pada dasarnya.
Evan Anderson
1

Anda harus melihat John the Ripper - ini adalah utilitas peretas kata sandi. Anda dapat menjalankannya dalam mode serangan kamus yang mengambil daftar kata sandi dari file teks. Daftar kata Anda hanya dapat terdiri dari kata sandi standar Anda.

Seharusnya cukup cepat, mungkin lebih cepat daripada share + connect melalui script password yang diajukan.

Christopher_G_Lewis
sumber
0

Anda bisa mencoba menemukan cara untuk skrip upaya masuk ke berbagi atau sumber daya yang akan mencoba kata sandi "standar" untuk setiap pengguna dalam daftar, seperti pendekatan file batch, kemudian login mana yang berhasil. Tetapi ini akan menjadi banyak pekerjaan untuk audit tunggal jika Anda bukan bisnis besar dengan sejumlah besar akun. Mungkin ada beberapa utilitas keamanan topi abu-abu di luar sana, tapi saya tidak tahu seberapa besar Anda akan mempercayai mereka.

Anda mungkin bisa mendapatkan utilitas audit kata sandi dengan serangan berbasis kamus (l0phtcrack?) Dan hanya menggunakan kata sandi default Anda sebagai kamus khusus. Itu bisa membuat segalanya lebih cepat dan mudah.

Ini menjadi tidak pasti karena utilitas ini adalah alat yang membantu sebanyak mungkin kerusakan. Beberapa pemindai malware akan menandai mereka meskipun Anda menggunakannya untuk tujuan yang sah. Windows tidak memiliki banyak hal dalam hal utilitas pemeriksaan kata sandi bawaan untuk administrator, seperti yang diatur secara khusus sehingga administrator dapat mengatur ulang atau mengosongkan kata sandi tetapi tidak tahu apa kata sandi "hilang" atau "dilupakan".

Bart Silverstrim
sumber
0

Saya akan menetapkan Menegakkan riwayat kata sandi ke angka tinggi (misalnya 10) dan mengurangi usia kata sandi saya menjadi 30 atau membuat skrip kata sandi kedaluwarsa untuk semua pengguna. Hal selanjutnya yang harus dilakukan adalah melihat akun layanan dan mengatur ulang kata sandi mereka. Jika Anda memiliki lingkungan yang besar, ini akan menyakitkan (dengan demikian akun layanan terkelola yang baru di tahun 2008). Saya setuju dengan Bart bahwa utilitas yang dapat mengambil kata sandi sering kali lebih merepotkan daripada nilainya. Mudah-mudahan Anda berada di lingkungan di mana mereka akan membiarkan Anda kedaluwarsa kata sandi secara berkala dalam hal ini kata sandi ini akan hilang dalam waktu, selama Anda memiliki sejarah kata sandi yang ditetapkan.

Jim B
sumber
0

Saya telah menggunakan pwdump 6 di masa lalu untuk membuang hash kata sandi.

Buat akun sebelumnya dengan kata sandi. Jika pengguna menggunakan kata sandi yang sama, hash kata sandi yang dibuang untuk pengguna harus sama. Pastikan Anda memiliki izin karena hash kata sandi sensitif karena ada alat seperti tabel pelangi yang berukuran beberapa gb dan memungkinkan orang untuk menemukan kata sandi pengguna dari hash.

Sistem Linux dan unix mencegah tabel pelangi karena mereka sering menambahkan garam untuk memastikan tabel hash untuk satu sistem tidak dapat digunakan untuk sistem kedua.

Saya bekerja di sebuah perusahaan yang diaudit oleh sebuah perusahaan besar yang mereka sarankan agar kita berhenti memberikan kata sandi yang umum ketika mengatur pengguna karena mereka sering juga mendapatkan tugas kelompok - yang berarti seseorang yang mengetahui john smith mulai dapat mencoba untuk masuk dengan nama pengguna standar untuk john smith bersama dengan kata sandi standar.

Menandai

MarkL
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.