Apakah ada cara saya bisa mengaudit AD untuk memeriksa kata sandi tertentu?
Kami dulu menggunakan kata sandi "standar" untuk semua pengguna baru (mis. MyPa55word ). Saya ingin memastikan ini tidak lagi digunakan di mana saja di tanah kami.
Satu-satunya cara saya bisa memikirkan bagaimana melakukan ini adalah dengan a) mengaudit direktori entah bagaimana untuk setiap pengguna dengan kata sandi ini atau b) mengatur dokter umum yang tidak mengizinkan kata sandi ini (idealnya ini akan meminta pengguna untuk mengatur ulang kata sandi mereka. )
Adakah yang punya tips tentang bagaimana saya bisa mendekati ini?
Ta,
Ben
Jawaban:
Berikut adalah beberapa ide - tak satu pun dari mereka benar-benar sangat baik (dari perspektif bahwa mereka dapat mematikan alarm anti-virus atau deteksi intrusi):
Anda dapat membuang hash kata sandi dari Active Directory dan menjalankan cracker kata sandi. Kain dan Habel dapat melakukan cracking untuk Anda. Anda bisa mengeluarkan hash dengan fgdump. Hati-hati - kedua utilitas ini mungkin akan mematikan alarm di perangkat lunak antivirus Anda.
Anda bisa menulis skrip sederhana untuk beralih pada keluaran daftar pengguna, memeriksa kata sandi yang valid menggunakan perintah "NET USE". Gunakan sesuatu seperti ini:
Masukkan daftar pengguna ke "userlist.txt" (satu nama pengguna per baris), atur variabel di bagian atas skrip untuk merujuk ke jalur yang harus dapat "dipetakan" oleh seorang pengguna "drive", dan pastikan bahwa PC yang Anda jalankan tidak memiliki "drive" "yang dipetakan" ke server tujuan (karena PC Windows hanya memungkinkan satu set kredensial untuk digunakan untuk koneksi klien SMB ke server yang diberikan pada suatu waktu).
Seperti yang saya katakan - metode mana pun mungkin bukan ide yang bagus. > tersenyum <
sumber
Tidak ada cara resmi untuk melihat kata sandi pengguna (itu mungkin, tetapi Anda harus mempelajari ... utilitas keamanan). Mungkin yang terbaik untuk melakukan pendekatan ini dari sudut usia kata sandi. Sepertinya Anda bisa membandingkan tanggal pembuatan pengguna dengan tanggal kata sandi terakhir diubah, dan jika ada kecocokan, ganti bidang 'ubah kata sandi saat masuk berikutnya'.
sumber
buat bagian di mana Anda dimintai kata sandi saat melakukan penggunaan internet. kemudian tulis skrip yang mencoba memetakan pembagian dengan semua nama pengguna dan pw default. dengan cara ini tidak ada log masuk diperlukan dan Anda tidak akan melanggar kebijakan
sumber
Anda harus melihat John the Ripper - ini adalah utilitas peretas kata sandi. Anda dapat menjalankannya dalam mode serangan kamus yang mengambil daftar kata sandi dari file teks. Daftar kata Anda hanya dapat terdiri dari kata sandi standar Anda.
Seharusnya cukup cepat, mungkin lebih cepat daripada share + connect melalui script password yang diajukan.
sumber
Anda bisa mencoba menemukan cara untuk skrip upaya masuk ke berbagi atau sumber daya yang akan mencoba kata sandi "standar" untuk setiap pengguna dalam daftar, seperti pendekatan file batch, kemudian login mana yang berhasil. Tetapi ini akan menjadi banyak pekerjaan untuk audit tunggal jika Anda bukan bisnis besar dengan sejumlah besar akun. Mungkin ada beberapa utilitas keamanan topi abu-abu di luar sana, tapi saya tidak tahu seberapa besar Anda akan mempercayai mereka.
Anda mungkin bisa mendapatkan utilitas audit kata sandi dengan serangan berbasis kamus (l0phtcrack?) Dan hanya menggunakan kata sandi default Anda sebagai kamus khusus. Itu bisa membuat segalanya lebih cepat dan mudah.
Ini menjadi tidak pasti karena utilitas ini adalah alat yang membantu sebanyak mungkin kerusakan. Beberapa pemindai malware akan menandai mereka meskipun Anda menggunakannya untuk tujuan yang sah. Windows tidak memiliki banyak hal dalam hal utilitas pemeriksaan kata sandi bawaan untuk administrator, seperti yang diatur secara khusus sehingga administrator dapat mengatur ulang atau mengosongkan kata sandi tetapi tidak tahu apa kata sandi "hilang" atau "dilupakan".
sumber
Saya akan menetapkan Menegakkan riwayat kata sandi ke angka tinggi (misalnya 10) dan mengurangi usia kata sandi saya menjadi 30 atau membuat skrip kata sandi kedaluwarsa untuk semua pengguna. Hal selanjutnya yang harus dilakukan adalah melihat akun layanan dan mengatur ulang kata sandi mereka. Jika Anda memiliki lingkungan yang besar, ini akan menyakitkan (dengan demikian akun layanan terkelola yang baru di tahun 2008). Saya setuju dengan Bart bahwa utilitas yang dapat mengambil kata sandi sering kali lebih merepotkan daripada nilainya. Mudah-mudahan Anda berada di lingkungan di mana mereka akan membiarkan Anda kedaluwarsa kata sandi secara berkala dalam hal ini kata sandi ini akan hilang dalam waktu, selama Anda memiliki sejarah kata sandi yang ditetapkan.
sumber
Saya telah menggunakan pwdump 6 di masa lalu untuk membuang hash kata sandi.
Buat akun sebelumnya dengan kata sandi. Jika pengguna menggunakan kata sandi yang sama, hash kata sandi yang dibuang untuk pengguna harus sama. Pastikan Anda memiliki izin karena hash kata sandi sensitif karena ada alat seperti tabel pelangi yang berukuran beberapa gb dan memungkinkan orang untuk menemukan kata sandi pengguna dari hash.
Sistem Linux dan unix mencegah tabel pelangi karena mereka sering menambahkan garam untuk memastikan tabel hash untuk satu sistem tidak dapat digunakan untuk sistem kedua.
Saya bekerja di sebuah perusahaan yang diaudit oleh sebuah perusahaan besar yang mereka sarankan agar kita berhenti memberikan kata sandi yang umum ketika mengatur pengguna karena mereka sering juga mendapatkan tugas kelompok - yang berarti seseorang yang mengetahui john smith mulai dapat mencoba untuk masuk dengan nama pengguna standar untuk john smith bersama dengan kata sandi standar.
Menandai
sumber