parolele utilizatorilor de audit în directorul activ, ferestre pentru administratorii de sistem

Pentru a testa stabilitatea parolei utilizatorului la atacurile folosim terțe părți modulul PowerShell - DSInternals. Acest modul cuprinde un număr de cmdleturilor care pot efectua diverse operații cu AD de date de bază în modul on-line sau off-line (fișier direct Ntds.dit). În special, suntem interesați în cmdlet Test-PasswordQuality. permițând utilizatorilor să identifice slab, aceleași, standard sau goale parolele.

Notă. parolele utilizatorilor din baza de date AD, desigur, să nu fie în măsură de a obține în clar, dar prin compararea parola de utilizator AD hash-uri cu cuvinte hashes din dicționar poate fi determinată (sau compara) parolele utilizatorilor.

Instalarea modulului de DSInternals

În PowerShell, 5 set modulul DSInternals poate fi online din script-urile oficiale galerie PowerShell după cum urmează:

Sau importa comanda modulului:

Lista de cmdleturilor module disponibile pot fi obținute după cum urmează:

Get-comandă DSInternals -Modulul

parolele utilizatorilor de audit în directorul activ, ferestre pentru administratorii de sistem

dicționar parole

În continuare, vom avea nevoie de un fișier cu un dicționar de frecvent utilizate și parole „rele“. Acesta poate fi descărcat de pe Internet sau de a crea propriul. Conturi în Active Directory vor fi verificate pentru parola corespunzătoare din acest dicționar. Salvați parola într-un PasswordDict.txt fișier text.

parolele utilizatorilor de audit în directorul activ, ferestre pentru administratorii de sistem

parole AD Audit folosind testul-PasswordQuality

Următoarele variabile specificați calea către fișierul parola, numele de domeniu și controlerul de domeniu.

$ DictFile = "C: \ distr \ PS \ DSInternals \ PasswordDict.txt"
$ DC = "MSK-DC01"
$ Domain = "DC = winitpro, DC = loc"

Apoi, aveți nevoie pentru a obține NT pentru toate parolele hash-uri dintr-un fișier dicționar pentru a le compara mai târziu cu hash-uri AD parole:

$ Dict = Get-conținut $ DictFile | ConvertTo-NTHashDictionary

parolele utilizatorilor de audit în directorul activ, ferestre pentru administratorii de sistem
Mai mult, prin utilizarea Get-ADReplAccount obține o listă de obiecte în datele AD ale NT, LM și hash hash istorie. Apoi, pentru fiecare utilizator vor fi efectuate pentru a verifica respectarea hash hash-uri de parole sale din dicționar fișierul.

Get-ADReplAccount -In -Server $ DC -NamingContext $ domeniu |
Test-PasswordQuality -WeakPasswordHashes $ Dict -ShowPlainTextPasswords -IncludeDisabledAccounts

Rezultatul script-ul ar putea arata astfel:

Active Directory parola Raport de calitate

Parolele acestor conturi sunt stocate folosind criptare reversibila:

LM hashes de parole ale acestor conturi sunt prezente:

Aceste conturi nu au nici un set de parolă:

Parolele acestor conturi au fost găsite în dicționar: