Windows

有沒有辦法審核特定密碼的 AD?

  • February 14, 2010

有沒有辦法可以審核 AD 以檢查特定密碼?

我們曾經為所有新使用者使用“標準”密碼(例如MyPa55word)。我想確保我們莊園的任何地方都不再使用它。

我認為如何做到這一點的唯一方法是 a) 以某種方式為任何具有此密碼的使用者審核目錄或 b) 設置一個專門禁止此密碼的 GP(理想情況下,這會提示使用者重置他們的密碼。 )

有人對我如何解決這個問題有任何提示嗎?

Ta,

Ben

這裡有幾個想法——它們都不是很好(從他們可能引發反病毒或入侵檢測警報的角度來看):

  • 您可以將密碼雜湊值從 Active Directory 中轉儲出來並對其執行密碼破解程序。該隱和亞伯可以幫你破解。您可以使用 fgdump 獲取雜湊值。當心——這兩個實用程序都可能會在您的防病毒軟體中敲響警鐘。
  • 您可以編寫一個簡單的腳本來遍歷使用者列表的輸出,使用“NET USE”命令檢查有效密碼。使用這樣的東西:
@echo 關閉

rem 將“驅動器”“映射”到密碼測試的目標路徑
設置 DESTPATH=\\SERVER\Share
rem 用於將“驅動器”“映射”到密碼測試的驅動器號
設置驅動器_字母=問:

rem 要測試的 NetBIOS 域名
設置域=域

rem 包含使用者名列表的文件,每行一個
SET USERLIST=userlist.txt

rem 測試密碼
設置密碼=MyPa55word

rem 輸出文件
設置輸出=輸出.txt

如果存在“%DRIVE_LETTER%\。” 轉到_letter_used

for /f %%i in (%USERLIST%) 做 (
淨使用 %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%\%%i %PASSWORD%

如果存在“%DRIVE_LETTER%\。” echo %%i 密碼是 %PASSWORD%>>%OUTPUT%

淨使用 %DRIVE_LETTER% /d /y
)

轉到結束

:_letter_used
echo %DRIVE_LETTER% 已在使用中。將其更改為空閒驅動器號並重新執行。

:結尾

將使用者列表放入“userlist.txt”(每行一個使用者名),在腳本頂部設置變數以引用使用者應該能夠將“驅動器”“映射”到的路徑,並確保執行它的 PC 沒有任何其他“驅動器”“映射”到目標伺服器(因為 Windows PC 一次只允許一組憑據用於 SMB 客戶端連接到給定伺服器)。

就像我說的那樣——任何一種方法都可能不是一個好主意。>微笑<

引用自:https://serverfault.com/questions/112304