Gibt es eine Möglichkeit, AD auf ein bestimmtes Kennwort zu prüfen?

8

Gibt es eine Möglichkeit, AD zu überwachen, um nach einem bestimmten Kennwort zu suchen?

Wir haben für alle neuen Benutzer ein "Standard" -Passwort verwendet (z . B. MyPa55word ). Ich möchte sicherstellen, dass dies nirgendwo auf unserem Anwesen mehr verwendet wird.

Die einzige Möglichkeit, wie ich dies tun könnte, wäre, entweder a) das Verzeichnis irgendwie auf Benutzer mit diesem Kennwort zu überprüfen oder b) einen Hausarzt einzurichten, der dieses Kennwort ausdrücklich nicht zulässt (im Idealfall würde dies die Benutzer dann auffordern, ihr Kennwort zurückzusetzen. )

Hat jemand irgendwelche Tipps, wie ich das angehen kann?

Ta,

Ben

windows  security  active-directory  group-policy 
3
Ich persönlich denke, Sie gehen falsch vor. Anstatt zu versuchen, herauszufinden, wer schlecht ist, können Sie verhindern, dass sie schlecht sind, indem Sie einfach die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" für alle neu erstellten Konten festlegen. Dies wäre sicherlich die einfachste und sicherste Lösung.
Bryan
Die von Bryan vorgeschlagene Methode dient speziell dazu, zu verhindern, dass Ihr Problem jemals auftritt.
John Gardeniers
Einverstanden für die Zukunft, aber wir versuchen, ein Problem zu beheben, das bereits aufgetreten ist. Das Problem beim Ansatz "Benutzer zum Ändern des Kennworts bei der nächsten Anmeldung zwingen" besteht darin, dass die meisten unserer Benutzer remote arbeiten. Das Ändern von Kennwörtern mit Benutzern außerhalb des Büros hat uns in der Vergangenheit Probleme bereitet.

Antworten:

1

Hier sind ein paar Ideen - keine von ihnen ist wirklich sehr gut (aus der Perspektive heraus, dass sie Antiviren- oder Intrusion Detection-Alarme auslösen könnten):

  • Sie können die Kennwort-Hashes aus Active Directory sichern und einen Kennwort-Cracker darauf ausführen. Kain und Abel können das Knacken für Sie erledigen. Sie können die Hashes mit fgdump rausholen. Achtung: Diese beiden Dienstprogramme lösen wahrscheinlich Alarmglocken in Ihrer Antivirensoftware aus.

  • Sie können ein einfaches Skript schreiben, um die Ausgabe einer Benutzerliste zu durchlaufen und mit dem Befehl "NET USE" nach gültigen Kennwörtern zu suchen. Verwenden Sie so etwas:

    @echo aus

    rem Zielpfad zum "Zuordnen" eines "Laufwerks" zum Kennworttest
    setze DESTPATH ​​= \\ SERVER \ Share
    rem Laufwerksbuchstabe zum "Zuordnen" eines "Laufwerks" zum Kennworttest
    SET DRIVE_LETTER = Q:

    rem NetBIOS-Domainname zum Testen
    setze DOMAIN = DOMAIN

    rem Datei mit einer Liste von Benutzernamen, einer pro Zeile
    SET USERLIST = userlist.txt

    rem Passwort zum Testen
    SET PASSWORD = MyPa55word

    rem Ausgabedatei
    SET OUTPUT = output.txt

    falls vorhanden "% DRIVE_LETTER% \." gehe zu _letter_used

    für / f %% i in (% USERLIST%) do (
        Nettonutzung% DRIVE_LETTER %% DESTPATH% / USER:% DOMAIN% \ %% i% PASSWORD%

        falls vorhanden "% DRIVE_LETTER% \." echo %% i Passwort ist% PASSWORD% >>% OUTPUT%

        Nettonutzung% DRIVE_LETTER% / d / y
    )

    gehe zum Ende

    : _letter_used
    echo% DRIVE_LETTER% wird bereits verwendet. Ändern Sie es in einen freien Laufwerksbuchstaben und führen Sie es erneut aus.

    :Ende

Fügen Sie die Benutzerliste in "userlist.txt" ein (ein Benutzername pro Zeile), setzen Sie die Variablen oben im Skript so, dass sie auf einen Pfad verweisen, dem der Benutzer ein "Laufwerk" "zuordnen" kann, und stellen Sie sicher, dass die Auf dem PC, auf dem Sie es ausführen, sind keine anderen "Laufwerke" dem Zielserver "zugeordnet" (da auf einem Windows-PC jeweils nur ein Satz von Anmeldeinformationen für SMB-Clientverbindungen zu einem bestimmten Server verwendet werden kann).

Wie ich schon sagte - beide Methoden sind wahrscheinlich keine gute Idee. > lächeln <

Evan Anderson
quelle
1
Wenn Sie die Hashes ablegen und ein Konto mit Ihrem Standardkennwort eingerichtet haben, wissen Sie, was der Hash ist, und können einfach danach suchen, nicht wahr?
Xenny
Sie, Sir, sind eine Legende. Ich glaube nicht, dass ich die Frage sehr gut erklärt habe - aber genau das brauchte ich. War nach einem kurzen Dump von allen mit diesem bestimmten Passwort, damit ich sie diskret dazu bringen konnte, sie zu ändern. Vielen Dank!
8

Es gibt keine offizielle Möglichkeit, Benutzerkennwörter anzuzeigen (es ist möglich, aber Sie müssen sich mit ... Sicherheitsdienstprogrammen befassen). Es ist wahrscheinlich am besten, dies unter dem Gesichtspunkt des Passwortalters zu betrachten. Es hört sich so an, als könnten Sie das Erstellungsdatum des Benutzers mit dem Datum vergleichen, an dem das Kennwort zuletzt geändert wurde. Wenn eine Übereinstimmung vorliegt, schalten Sie das Feld "Kennwortänderung bei nächster Anmeldung" um.

Kara Marfia
quelle
Ah ... sehr schöne Lösung!
blank3
1

Erstellen Sie eine Freigabe, in der Sie bei der Netznutzung nach einem Kennwort gefragt werden. Schreiben Sie dann ein Skript, das versucht, die Freigabe mit allen Benutzernamen und dem Standard-PW zuzuordnen. Auf diese Weise ist keine Anmeldung erforderlich und Sie werden die Richtlinie nicht brechen

raerek
quelle
Das ist es, was mein Skript in meiner Antwort im Grunde tut.
Evan Anderson
1

Sie sollten sich John the Ripper ansehen - ein Dienstprogramm zum Knacken von Passwörtern. Sie können es im Wörterbuch-Angriffsmodus ausführen, der eine Liste von Kennwörtern aus einer Textdatei entnimmt. Ihre Wortliste kann nur aus Ihrem Standardkennwort bestehen.

Sollte recht schnell sein, wahrscheinlich schneller als das vorgeschlagene Share + Connect via Passwortskript.

Christopher_G_Lewis
quelle
0

Sie könnten versuchen, einen Weg zu finden, um einen Anmeldeversuch für eine Freigabe oder Ressource zu skripten, bei dem das "Standard" -Kennwort für jeden Benutzer in einer Liste wie bei einem Batchdatei-Ansatz versucht wird, und dann zu protokollieren, welche erfolgreich waren. Dies wäre jedoch eine Menge Arbeit für eine einzelne Prüfung, wenn Sie kein großes Unternehmen mit einer großen Anzahl von Konten sind. Es gibt vielleicht einige Sicherheitsdienstprogramme mit grauem Hut, aber ich weiß nicht, wie sehr Sie ihnen vertrauen würden.

Möglicherweise können Sie ein Dienstprogramm zur Kennwortüberwachung mit einem wörterbuchbasierten Angriff (l0phtcrack?) Abrufen und nur Ihr Standardkennwort als benutzerdefiniertes Wörterbuch verwenden. Das kann die Dinge schneller und einfacher machen.

Dies wird schwierig, da diese Dienstprogramme Tools sind, die sowohl helfen als auch schaden. Einige Malware-Scanner kennzeichnen sie auch dann, wenn Sie sie für legitime Zwecke verwenden. Windows verfügt nicht über zahlreiche integrierte Dienstprogramme zur Kennwortprüfung für Administratoren, da diese speziell eingerichtet wurden, damit Administratoren Kennwörter zurücksetzen oder leeren können, aber nicht wissen, welche Kennwörter "verloren" oder "vergessen" waren.

Bart Silverstrim
quelle
0

Ich würde den Enforce-Kennwortverlauf auf eine hohe Zahl setzen (z. B. 10) und entweder mein Kennwortalter auf 30 verringern oder ein Ablaufkennwort für alle Benutzer per Skript erstellen. Als Nächstes müssen Sie sich die Dienstkonten ansehen und deren Kennwörter zurücksetzen. Wenn Sie eine große Umgebung haben, ist dies schmerzhaft (daher die neuen Managed Service-Konten im Jahr 2008). Ich stimme Bart darin zu, dass die Dienstprogramme, die das Passwort abrufen können, oft mehr Probleme bereiten, als sie wert sind. Hoffentlich befinden Sie sich in einer Umgebung, in der Kennwörter in regelmäßigen Abständen ablaufen. In diesem Fall wird dieses Kennwort mit der Zeit gelöscht, solange Sie den Kennwortverlauf festgelegt haben.

Jim B.
quelle
0

Ich habe in der Vergangenheit pwdump 6 verwendet, um Passwort-Hashes zu sichern.

Erstellen Sie vorab ein Konto mit dem Passwort. Wenn Benutzer dasselbe Kennwort verwendet haben, sollte der für die Benutzer ausgegebene Kennwort-Hash identisch sein. Stellen Sie einfach sicher, dass Sie über Berechtigungen verfügen, da Kennwort-Hashes vertraulich sind, da es Tools wie Regenbogentabellen mit einer Größe von mehreren GB gibt, mit denen Benutzer das Kennwort des Benutzers aus dem Hash ermitteln können.

Linux- und Unix-Systeme verhindern Regenbogentabellen, da sie häufig Salz hinzufügen, um sicherzustellen, dass die Hash-Tabellen für ein System nicht für ein zweites System verwendet werden können.

Ich habe in einer Firma gearbeitet, die von einer großen Firma geprüft wurde. Sie schlug vor, dass wir beim Einrichten von Benutzern keine gängigen Passwörter mehr bereitstellen, da diese häufig auch Gruppenzuweisungen erhalten. Dies bedeutet, dass jemand, der John Smith kennt, versuchen könnte, sich mit dem Standardbenutzernamen für John Smith zusammen mit dem anzumelden Standardpasswort.

Kennzeichen

MarkL
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.