Windows
有沒有辦法審核特定密碼的 AD?
有沒有辦法可以審核 AD 以檢查特定密碼?
我們曾經為所有新使用者使用“標準”密碼(例如MyPa55word)。我想確保我們莊園的任何地方都不再使用它。
我認為如何做到這一點的唯一方法是 a) 以某種方式為任何具有此密碼的使用者審核目錄或 b) 設置一個專門禁止此密碼的 GP(理想情況下,這會提示使用者重置他們的密碼。 )
有人對我如何解決這個問題有任何提示嗎?
Ta,
Ben
這裡有幾個想法——它們都不是很好(從他們可能引發反病毒或入侵檢測警報的角度來看):
- 您可以將密碼雜湊值從 Active Directory 中轉儲出來並對其執行密碼破解程序。該隱和亞伯可以幫你破解。您可以使用 fgdump 獲取雜湊值。當心——這兩個實用程序都可能會在您的防病毒軟體中敲響警鐘。
- 您可以編寫一個簡單的腳本來遍歷使用者列表的輸出,使用“NET USE”命令檢查有效密碼。使用這樣的東西:
@echo 關閉 rem 將“驅動器”“映射”到密碼測試的目標路徑 設置 DESTPATH=\\SERVER\Share rem 用於將“驅動器”“映射”到密碼測試的驅動器號 設置驅動器_字母=問: rem 要測試的 NetBIOS 域名 設置域=域 rem 包含使用者名列表的文件,每行一個 SET USERLIST=userlist.txt rem 測試密碼 設置密碼=MyPa55word rem 輸出文件 設置輸出=輸出.txt 如果存在“%DRIVE_LETTER%\。” 轉到_letter_used for /f %%i in (%USERLIST%) 做 ( 淨使用 %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%\%%i %PASSWORD% 如果存在“%DRIVE_LETTER%\。” echo %%i 密碼是 %PASSWORD%>>%OUTPUT% 淨使用 %DRIVE_LETTER% /d /y ) 轉到結束 :_letter_used echo %DRIVE_LETTER% 已在使用中。將其更改為空閒驅動器號並重新執行。 :結尾將使用者列表放入“userlist.txt”(每行一個使用者名),在腳本頂部設置變數以引用使用者應該能夠將“驅動器”“映射”到的路徑,並確保執行它的 PC 沒有任何其他“驅動器”“映射”到目標伺服器(因為 Windows PC 一次只允許一組憑據用於 SMB 客戶端連接到給定伺服器)。
就像我說的那樣——任何一種方法都可能不是一個好主意。>微笑<