9
Passwort im AD Suchen
Hallo zusammen,
ist es möglich mit einem Tool oder Powershell Skript das AD nach bestimmten Passwörtern zu dursuchen?
Mit besten Grüßen
ist es möglich mit einem Tool oder Powershell Skript das AD nach bestimmten Passwörtern zu dursuchen?
Mit besten Grüßen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7979495537
Url: https://administrator.de/contentid/7979495537
Printed on: May 6, 2024 at 13:05 o'clock
9 Comments
Latest comment
Moin,
wenn du alles richtig gemacht hast, dann nicht!
Schönen Freitag noch :D
Slainte
wenn du alles richtig gemacht hast, dann nicht!
Schönen Freitag noch :D
Slainte
5
Moin,
ja theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Zu bedenken wäre auch, wenn du ein Tool oder ein Skript dafür findest, wie legal ist dies, ich vermute dass du da ganz tief in die DSGVO greifst, und kein Vorgesetzter sowas gerne sieht.
Grüße
ja theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Zu bedenken wäre auch, wenn du ein Tool oder ein Skript dafür findest, wie legal ist dies, ich vermute dass du da ganz tief in die DSGVO greifst, und kein Vorgesetzter sowas gerne sieht.
Grüße
Du kannst mittels Skripten (kann ich bereitstellen) die Hashes nach bestimmten Werten (die dem Hash des gesuchten Kennwortes entsprechen) durchsuchen.
Wozu?
Wozu?
theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.2
genau das Ziel ist nicht den Klartext zu erlangen, sondern nach einem gleichen Password Hash zu suchen.
[...] Die Kennwörter sind nicht im Klartext zu erlangen. [...]
Ich bezog mich auf folgendes:
https://learn.microsoft.com/en-us/windows/security/threat-protection/sec ...
Zitat von @DerWoWusste:
theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.Soweit ich noch weiß, lässt sich die Konfig so verändert, dass Passwörter tatsächlich im Klartext gespeichert werden.
In sofern wäre dies dann keine gute Lösung.
Die beste Lösung ist tatsächlich die Hashs zu vergleichen. Merkwürdig, das MS dazu noch kein eigenes Tool in die GUI gebastelt hat.
Reversible encryption darf man unter keinen Umständen verwenden, das sollte klar sein 
und es ist auch nicht der Default.
Hier das Skript:
Man benötigt dafür das Modul DSInternal von https://github.com/MichaelGrafnetter/DSInternals
Edit: die Datei mit den Hashes entweder selbst erzeugen, wenn man nur gewisse Kennwörter checken möchte:
oder die Leakliste von hier runterladen: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
und es ist auch nicht der Default.Hier das Skript:
Import-Module DSInternals
$dictionary = "c:\temp\pwned-passwords-ntlm-ordered-by-hash-v8.txt"
$accounts = Get-ADReplAccount -All -Server localhost
$output = $accounts | Test-PasswordQuality -WeakPasswordHashesfile $dictionary | out-file c:\temp\results.txtEdit: die Datei mit den Hashes entweder selbst erzeugen, wenn man nur gewisse Kennwörter checken möchte:
Get-Content "c:\temp\zuCheckendePasswords.txt" | ConvertTo-SecureString -AsPlainText -Force | ConvertTo-NTHash | out-file $dictionary 
Moin.
Kannst dir ja mal LithNet anschauen:
https://github.com/lithnet/ad-password-protection
Damit kannste sowohl doppelte/einfache Passwörter finden als auch nen Abgleich gegen HIBP bzw. deren flat-file Datenbank machen. Komplett onPrem, wenn du das willst. Und es kann noch viel mehr als vergleichen, es kann auch verhindern, dass in HIBP gelistete Passwörter nicht mehr verwendet werden können.
Cheers,
jsysde
Kannst dir ja mal LithNet anschauen:
https://github.com/lithnet/ad-password-protection
Damit kannste sowohl doppelte/einfache Passwörter finden als auch nen Abgleich gegen HIBP bzw. deren flat-file Datenbank machen. Komplett onPrem, wenn du das willst. Und es kann noch viel mehr als vergleichen, es kann auch verhindern, dass in HIBP gelistete Passwörter nicht mehr verwendet werden können.
Cheers,
jsysde
1