Existe-t-il un moyen d'auditer AD pour un mot de passe particulier?

8

Existe-t-il un moyen de vérifier AD pour vérifier un mot de passe particulier?

Nous avions l'habitude d'utiliser un mot de passe "standard" pour tous les nouveaux utilisateurs (par exemple MyPa55word ). Je veux m'assurer que ce n'est plus utilisé partout dans notre domaine.

La seule façon dont je pourrais penser à faire serait soit a) d'auditer le répertoire d'une manière ou d'une autre pour tous les utilisateurs avec ce mot de passe, soit b) de configurer un GP qui interdirait spécifiquement ce mot de passe (idéalement, cela inciterait les utilisateurs à réinitialiser leur mot de passe. )

Quelqu'un a-t-il des conseils sur la façon dont je peux aborder cela?

Ta,

Ben


la source
3
Je pense personnellement que vous adoptez la mauvaise approche. Au lieu d'essayer de voir qui est mauvais, pourquoi ne pas l'empêcher d'être mauvais, en définissant simplement l'option `` L'utilisateur doit changer de mot de passe à la prochaine ouverture de session '' pour tous les comptes nouvellement créés?, Ce serait sûrement la solution la plus simple et la plus sûre?
Bryan
La méthode suggérée par Bryan est là spécifiquement pour éviter que votre problème ne se reproduise.
John Gardeniers
D'accord pour l'avenir, mais nous essayons de résoudre un problème qui s'est déjà produit. Le problème avec l'approche «forcer l'utilisateur à changer de mot de passe à la prochaine ouverture de session» est que la plupart de nos utilisateurs travaillent à distance - changer les mots de passe avec des utilisateurs hors du bureau nous a causé des problèmes dans le passé.

Réponses:

1

Voici quelques idées - aucune d'entre elles n'est vraiment très bonne (du fait qu'elles pourraient déclencher des alarmes antivirus ou de détection d'intrusion):

  • Vous pouvez vider les hachages de mot de passe d'Active Directory et exécuter un cracker de mot de passe sur eux. Caïn et Abel peuvent faire le crack pour vous. Vous pouvez obtenir les hachages avec fgdump. Attention, ces deux utilitaires déclencheront probablement des alarmes dans votre logiciel antivirus.

  • Vous pouvez écrire un script simple pour parcourir la sortie d'une liste d'utilisateurs, en vérifiant les mots de passe valides à l'aide de la commande "NET USE". Utilisez quelque chose comme ceci:

    @Écho off

    rem Chemin de destination pour "mapper" un "lecteur" vers pour tester le mot de passe
    définir DESTPATH ​​= \\ SERVER \ Share
    rem Lettre de lecteur utilisée pour "mapper" un "lecteur" vers un test de mot de passe
    SET DRIVE_LETTER = Q:

    rem nom de domaine NetBIOS pour tester
    définir DOMAIN = DOMAIN

    rem Fichier contenant la liste des noms d'utilisateurs, un par ligne
    SET USERLIST = userlist.txt

    rem Mot de passe à tester
    SET PASSWORD = MyPa55word

    rem Fichier de sortie
    SET OUTPUT = output.txt

    s'il existe "% DRIVE_LETTER% \." goto _letter_used

    pour / f %% i in (% USERLIST%) do (
        utilisation nette% DRIVE_LETTER%% DESTPATH% / USER:% DOMAIN% \ %% i% PASSWORD%

        s'il existe "% DRIVE_LETTER% \." le mot de passe echo %% i est% PASSWORD% >>% OUTPUT%

        utilisation nette% DRIVE_LETTER% / d / y
    )

    goto end

    : _letter_used
    echo% DRIVE_LETTER% est déjà utilisé. Remplacez-le par une lettre de lecteur gratuite et réexécutez.

    :fin

Placez la liste d'utilisateurs dans "userlist.txt" (un nom d'utilisateur par ligne), définissez les variables en haut du script pour faire référence à un chemin vers lequel l'utilisateur doit pouvoir "mapper" un "lecteur" et assurez-vous que le Le PC sur lequel vous l'exécutez n'a aucun autre «lecteur» «mappé» au serveur de destination (puisqu'un PC Windows ne permet d'utiliser qu'un seul ensemble d'informations d'identification pour les connexions client SMB à un serveur donné à la fois).

Comme je l'ai dit, l'une ou l'autre méthode n'est probablement pas une bonne idée. > sourire <

Evan Anderson
la source
1
si vous videz les hachages, après avoir configuré un compte pour avoir votre mot de passe par défaut, vous saurez quel est le hachage et pouvez simplement le rechercher, n'est-ce pas?
xenny
Vous monsieur, êtes une légende. Je ne pense pas avoir très bien expliqué la question - mais c'est exactement ce dont j'avais besoin. Était après un vidage rapide de tout le monde avec ce mot de passe particulier afin que je puisse discrètement les amener à les changer. Merci beaucoup!
8

Il n'y a aucun moyen officiel d'afficher les mots de passe des utilisateurs (c'est possible, mais vous devez vous plonger dans ... les utilitaires de sécurité). Il est probablement préférable de l'aborder sous l'angle du mot de passe. Il semble que vous puissiez comparer la date de création de l'utilisateur à la date à laquelle le mot de passe a été modifié pour la dernière fois, et s'il y a une correspondance, basculez le champ `` changement de mot de passe à la prochaine connexion ''.

Kara Marfia
la source
Ah ... très belle solution!
blank3
1

créer un partage où l'on vous demande un mot de passe lorsque vous utilisez Internet. puis écrivez un script qui essaie de mapper le partage avec tous les noms d'utilisateur et le pw par défaut. de cette façon, aucune connexion n'est nécessaire et vous ne violerez pas la politique

raerek
la source
C'est essentiellement ce que fait mon script dans ma réponse.
Evan Anderson
1

Vous devriez regarder John the Ripper - c'est un utilitaire de craquage de mot de passe. Vous pouvez l'exécuter en mode d'attaque par dictionnaire qui prend une liste de mots de passe d'un fichier texte. Votre liste de mots pourrait être constituée uniquement de votre mot de passe par défaut.

Devrait être assez rapide, probablement plus rapide que le script share + connect via le mot de passe proposé.

Christopher_G_Lewis
la source
0

Vous pouvez essayer de trouver un moyen de scripter une tentative d'ouverture de session sur un partage ou une ressource qui essaiera ce mot de passe "standard" pour chaque utilisateur dans une liste, comme une approche de fichier de commandes, puis connectez ceux qui ont réussi. Mais ce serait beaucoup de travail pour un seul audit si vous n'êtes pas une grande entreprise avec un grand nombre de comptes. Il peut y avoir des utilitaires de sécurité gris, mais je ne sais pas à quel point vous leur faites confiance.

Vous pourrez peut-être obtenir un utilitaire d'audit de mot de passe avec une attaque basée sur un dictionnaire (l0phtcrack?) Et utiliser uniquement votre mot de passe par défaut comme dictionnaire personnalisé. Cela peut rendre les choses plus rapides et plus faciles.

Cela devient risqué car ces utilitaires sont des outils qui aident autant que blessent. Certains analyseurs de logiciels malveillants les signalent même si vous les utilisez à des fins légitimes. Windows n'a pas beaucoup d'utilitaires de vérification de mot de passe intégrés pour les administrateurs, car il a été configuré spécifiquement pour que les administrateurs puissent réinitialiser ou vider les mots de passe mais ne savent pas quels étaient les mots de passe "perdus" ou "oubliés".

Bart Silverstrim
la source
0

Je définirais un nombre élevé de mots de passe Enforce (disons 10) et je réduirais l'âge de mon mot de passe à 30 ou je rédigerais un mot de passe expiré pour tous les utilisateurs. La prochaine chose à faire est d'examiner les comptes de service et de réinitialiser leurs mots de passe. Si vous avez un grand environnement ce sera douloureux (donc les nouveaux comptes de services gérés en 2008). Je suis d'accord avec Bart en ce que les utilitaires qui peuvent récupérer le mot de passe posent souvent plus de problèmes qu'ils n'en valent la peine. J'espère que vous vous trouvez dans un environnement où ils vous laisseront expirer les mots de passe à intervalles réguliers, auquel cas ce mot de passe disparaîtra certainement dans le temps, tant que l'historique des mots de passe est défini.

Jim B
la source
0

J'ai utilisé pwdump 6 dans le passé pour vider les hachages de mot de passe.

Créez un compte à l'avance avec le mot de passe. Si les utilisateurs utilisent ce même mot de passe, le hachage de mot de passe vidé pour les utilisateurs doit être le même. Assurez-vous simplement que vous disposez des autorisations, car les hachages de mot de passe sont sensibles car il existe des outils tels que des tables arc-en-ciel de plusieurs Go et permettant aux utilisateurs de trouver le mot de passe de l'utilisateur à partir du hachage.

Les systèmes Linux et Unix empêchent les tables arc-en-ciel car ils ajoutent souvent du sel pour garantir que les tables de hachage d'un système ne peuvent pas être utilisées pour un second système.

J'ai travaillé dans une entreprise vérifiée par une grande entreprise.Ils ont suggéré que nous arrêtions de fournir des mots de passe communs lors de la configuration des utilisateurs, car ils obtiennent également souvent des affectations de groupe - ce qui signifie que quelqu'un sachant que John Smith commençait pourrait tenter de se connecter avec le nom d'utilisateur standard de John Smith avec le mot de passe standard.

marque

MarkL
la source