有没有办法审核特定密码的AD？

8

有什么方法可以审核广告以检查特定密码？

我们曾经为所有新用户使用“标准”密码（例如MyPa55word）。我想确保在我们庄园的任何地方都不再使用它。

我唯一想到的方法是a）以某种方式对该使用此密码的所有用户进行目录审计，或者b）设置一个明确禁止该密码的GP（理想情况下，这将提示用户重置其密码）。）

任何人都对我如何解决此问题有任何建议？

，

本

3

我个人认为您使用了错误的方法。通过简单地为所有新创建的帐户设置“用户必须在下次登录时更改密码”选项，而不是试图查看谁的状况不佳，为什么不阻止它们的状况恶化，这肯定是最简单，最安全的解决方案？

— 布赖恩2010年

布赖恩建议的方法专门用于防止您的问题再出现。

— 约翰·加迪尼尔

同意未来，但我们正在尝试解决已经发生的问题。“强制用户在下次登录时更改密码”方法的问题在于，我们大多数用户都在远程工作-过去在办公室外更改用户密码已导致我们遇到问题。

1

以下是一些想法-它们都不是一个很好的主意（出于可能会触发防病毒或入侵检测警报的观点）：

您可以将密码哈希值转储出Active Directory并对其进行密码破解。该隐和亚伯可以帮你解决难题。您可以使用fgdump消除哈希值。当心-这两个实用程序都可能会在您的防病毒软件中引起警钟。
您可以编写一个简单的脚本来遍历用户列表的输出，并使用“ NET USE”命令检查有效密码。使用这样的东西：

    @回声关闭

    rem“映射”“驱动器”以进行密码测试的目标路径
    设置DESTPATH = \\ SERVER \ Share
    rem用于“映射”“驱动器”以进行密码测试的驱动器号
    SET DRIVE_LETTER = Q：

    rem NetBIOS域名进行测试
    设置DOMAIN = DOMAIN

    rem包含用户名列表的文件，每行一个
    SET USERLIST = userlist.txt

    rem密码进行测试
    设置密码= MyPa55word

    rem输出文件
    设置输出= output.txt

    如果存在“％DRIVE_LETTER％\”。转到_letter_used

    为（％USERLIST％）中的/ f %% i做（
        净使用％DRIVE_LETTER％％DESTPATH％/ USER：％DOMAIN％\ %% i％PASSWORD％

        如果存在“％DRIVE_LETTER％\”。echo %% i的密码是％PASSWORD％>>％OUTPUT％

        净使用％DRIVE_LETTER％/ d / y
    ）

    转到结尾

    ：_letter_used
    echo％DRIVE_LETTER％已被使用。将其更改为空闲驱动器号，然后重新运行。

    ：结束

将用户列表放入“ userlist.txt”（每行一个用户名），在脚本顶部设置变量以引用用户应该能够“映射”“驱动器”的路径，并确保您在其上运行它的PC没有“映射”到目标服务器的任何其他“驱动器”（因为Windows PC一次仅允许将一组凭据用于SMB客户端连接到给定服务器）。

就像我说的那样-两种方法都不是一个好主意。>微笑<

— 埃文·安德森（Evan Anderson）
source

1

如果您将哈希设置为默认值，并且将其设置为默认密码，那么您将知道哈希是什么，就可以查找吗？

— xenny

先生，您是一位传奇人物。我认为我对这个问题的解释不是很好-但这正是我所需要的。在使用此特定密码快速转储每个人之后，因此我可以离散地让他们更改它们。非常感谢！

8

没有查看用户密码的官方方法（可以，但是您必须深入研究...安全实用程序）。最好是从密码时代的角度来解决这个问题。听起来好像您可以将用户创建日期与上次更改密码的日期进行比较，如果匹配，请切换“下次登录时更改密码”字段。

— 卡拉·马尔菲亚
source

啊...很好的解决方案！

— blank3 2010年

1

进行网络使用时，在要求您输入密码的地方创建一个共享。然后编写一个脚本，尝试使用所有用户名和默认pw映射共享。这样，无需登录就可以了，您也不会违反政策

— 雷雷克
source

基本上，这就是我答案中的脚本所做的。

— 埃文·安德森

1

您应该看开膛手约翰 -它的密码破解工具。您可以在字典攻击模式下运行它，该模式从文本文件获取密码列表。您的单词列表可能只包含默认密码。

应该相当快，可能比建议的通过密码共享和连接更快。

— 克里斯托弗·G·刘易斯
source

0

您可以尝试找到一种方法来编写对共享或资源的登录尝试的脚本，该方法将为列表中的每个用户尝试该“标准”密码，例如批处理文件方法，然后记录哪些密码成功。但是，如果您不是一家拥有大量帐户的大型企业，那么对于一次审核而言，这将是很多工作。可能有一些安全帽实用工具，但我不知道您对它们有多信任。

您可能能够通过基于字典的攻击（l0phtcrack？）获得密码审核实用程序，并仅将默认密码用作自定义字典。这可能会使事情变得更快，更轻松。

由于这些实用程序是可以帮助您最大程度地减轻伤害的工具，因此变得很容易。即使您出于合法目的使用某些恶意软件扫描程序，它们也会对其进行标记。Windows并没有太多针对管理员的内置密码检查实用程序，因为它是专门为管理员设置的，以便管理员可以重置或空白密码，但不知道“丢失”或“忘记”的密码是什么。

— 巴特·西尔弗斯特里姆
source

0

我会将Enforce密码历史记录设置为较高的数字（例如10），然后将密码使用期限降低为30，或者为所有用户编写一个过期密码。接下来要做的是查看服务帐户并重置其密码。如果您的环境很大，那将会很痛苦（因此，2008年将有新的托管服务帐户）。我同意Bart的观点，即可以检索密码的实用程序通常比它们值得的麻烦更多。希望您所处的环境中，他们会让您定期使密码过期，在这种情况下，只要您设置了密码历史记录，此密码肯定会及时消失。

— 吉姆·B
source

0

我过去曾使用pwdump 6转储密码哈希。

提前使用密码创建一个帐户。如果用户使用相同的密码，则为用户丢弃的密码哈希应该相同。只需确保您具有权限即可，因为密码哈希很敏感，因为有彩虹表之类的工具，大小为数gb，可让人们从哈希中查找用户的密码。

Linux和unix系统可以防止彩虹表，因为它们经常加盐，以确保一个系统的哈希表不能用于第二个系统。

我曾在一家由大公司审计的公司工作，他们建议我们在设置用户时停止提供通用密码，因为他们通常还会获得组分配-这意味着知道john smith即将开始的人可以尝试使用john smith的标准用户名以及标准密码。

标记

— 马克
source