Passwort im AD Suchen
Hallo zusammen,
ist es möglich mit einem Tool oder Powershell Skript das AD nach bestimmten Passwörtern zu dursuchen?
Mit besten Grüßen
ist es möglich mit einem Tool oder Powershell Skript das AD nach bestimmten Passwörtern zu dursuchen?
Mit besten Grüßen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7979495537
Url: https://administrator.de/forum/passwort-im-ad-suchen-7979495537.html
Ausgedruckt am: 22.12.2024 um 04:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
ja theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Zu bedenken wäre auch, wenn du ein Tool oder ein Skript dafür findest, wie legal ist dies, ich vermute dass du da ganz tief in die DSGVO greifst, und kein Vorgesetzter sowas gerne sieht.
Grüße
ja theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Zu bedenken wäre auch, wenn du ein Tool oder ein Skript dafür findest, wie legal ist dies, ich vermute dass du da ganz tief in die DSGVO greifst, und kein Vorgesetzter sowas gerne sieht.
Grüße
theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.[...] Die Kennwörter sind nicht im Klartext zu erlangen. [...]
Ich bezog mich auf folgendes:
https://learn.microsoft.com/en-us/windows/security/threat-protection/sec ...
Zitat von @DerWoWusste:
theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.Soweit ich noch weiß, lässt sich die Konfig so verändert, dass Passwörter tatsächlich im Klartext gespeichert werden.
In sofern wäre dies dann keine gute Lösung.
Die beste Lösung ist tatsächlich die Hashs zu vergleichen. Merkwürdig, das MS dazu noch kein eigenes Tool in die GUI gebastelt hat.
Reversible encryption darf man unter keinen Umständen verwenden, das sollte klar sein und es ist auch nicht der Default.
Hier das Skript:
Man benötigt dafür das Modul DSInternal von https://github.com/MichaelGrafnetter/DSInternals
Edit: die Datei mit den Hashes entweder selbst erzeugen, wenn man nur gewisse Kennwörter checken möchte:
oder die Leakliste von hier runterladen: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
Hier das Skript:
Import-Module DSInternals
$dictionary = "c:\temp\pwned-passwords-ntlm-ordered-by-hash-v8.txt"
$accounts = Get-ADReplAccount -All -Server localhost
$output = $accounts | Test-PasswordQuality -WeakPasswordHashesfile $dictionary | out-file c:\temp\results.txt
Edit: die Datei mit den Hashes entweder selbst erzeugen, wenn man nur gewisse Kennwörter checken möchte:
Get-Content "c:\temp\zuCheckendePasswords.txt" | ConvertTo-SecureString -AsPlainText -Force | ConvertTo-NTHash | out-file $dictionary
Moin.
Kannst dir ja mal LithNet anschauen:
https://github.com/lithnet/ad-password-protection
Damit kannste sowohl doppelte/einfache Passwörter finden als auch nen Abgleich gegen HIBP bzw. deren flat-file Datenbank machen. Komplett onPrem, wenn du das willst. Und es kann noch viel mehr als vergleichen, es kann auch verhindern, dass in HIBP gelistete Passwörter nicht mehr verwendet werden können.
Cheers,
jsysde
Kannst dir ja mal LithNet anschauen:
https://github.com/lithnet/ad-password-protection
Damit kannste sowohl doppelte/einfache Passwörter finden als auch nen Abgleich gegen HIBP bzw. deren flat-file Datenbank machen. Komplett onPrem, wenn du das willst. Und es kann noch viel mehr als vergleichen, es kann auch verhindern, dass in HIBP gelistete Passwörter nicht mehr verwendet werden können.
Cheers,
jsysde