windows – 有没有办法审核AD的特定密码?

前端之家收集整理的这篇文章主要介绍了windows – 有没有办法审核AD的特定密码?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
有没有办法我可以审核AD以检查特定密码?

我们过去常常为所有新用户使用“标准”密码(例如MyPa55word).我想确保在我们的庄园任何地方都不再使用它.

我能想到如何做到这一点的唯一方法是:a)以某种方式为具有此密码的用户审核目录,或b)设置专门禁止使用此密码的GP(理想情况下,这会提示用户重置其密码. )

任何人都有关于如何处理这个问题的任何提示

钽,

这里有几个想法 – 它们都不是非常好(从他们可能引发反病毒或入侵检测警报的角度来看):

>您可以从Active Directory中转储密码哈希值并在其上运行密码破解程序. Cain and Abel可以帮你解决问题.你可以用fgdump来获取哈希值.请注意 – 这些实用程序都可能会在您的防病毒软件中引发警钟.
>您可以编写一个简单的脚本来迭代用户列表的输出,使用“NET USE”命令检查有效密码.使用这样的东西:

    @echo off

    rem Destination path to "map" a "drive" to for password test
    set DESTPATH=\\SERVER\Share
    rem Drive letter used to "map" a "drive" to for password test
    SET DRIVE_LETTER=Q:

    rem NetBIOS domain name to test against
    set DOMAIN=DOMAIN

    rem File containing list of usernames,one per line
    SET USERLIST=userlist.txt

    rem Password to test
    SET PASSWORD=MyPa55word

    rem Output file
    SET OUTPUT=output.txt

    if exist "%DRIVE_LETTER%\." goto _letter_used

    for /f %%i in (%USERLIST%) do (
        net use %DRIVE_LETTER% %DESTPATH% /USER:%DOMAIN%\%%i %PASSWORD%

        if exist "%DRIVE_LETTER%\." echo %%i password is %PASSWORD%>>%OUTPUT%

        net use %DRIVE_LETTER% /d /y
    )

    goto end

    :_letter_used
    echo %DRIVE_LETTER% is already in use. Change it to a free drive letter and re-run.

    :end

用户列表放入“userlist.txt”(每行一个用户名),在脚本顶部设置变量以引用用户应该能够“映射”“驱动器”的路径,并确保您正在运行它的PC没有任何其他“驱动器”“映射”到目标服务器(因为Windows PC只允许一组凭据一次用于SMB客户端连接到给定服务器).

就像我说的那样 – 任何一种方法都可能不是一个好主意. >微笑<

原文链接:https://www.f2er.com/windows/369381.html

猜你在找的Windows相关文章