tobixz
Goto Top

Passwort im AD Suchen

Hallo zusammen,

ist es möglich mit einem Tool oder Powershell Skript das AD nach bestimmten Passwörtern zu dursuchen?

Mit besten Grüßen

Content-ID: 7979495537

Url: https://administrator.de/forum/passwort-im-ad-suchen-7979495537.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

SlainteMhath
SlainteMhath 28.07.2023 um 11:52:43 Uhr
Goto Top
Moin,

wenn du alles richtig gemacht hast, dann nicht!

Schönen Freitag noch :D
Slainte
MrHeisenberg
MrHeisenberg 28.07.2023 um 12:02:11 Uhr
Goto Top
Moin,

ja theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.

Zu bedenken wäre auch, wenn du ein Tool oder ein Skript dafür findest, wie legal ist dies, ich vermute dass du da ganz tief in die DSGVO greifst, und kein Vorgesetzter sowas gerne sieht.

Grüße
DerWoWusste
DerWoWusste 28.07.2023 um 12:02:36 Uhr
Goto Top
Du kannst mittels Skripten (kann ich bereitstellen) die Hashes nach bestimmten Werten (die dem Hash des gesuchten Kennwortes entsprechen) durchsuchen.

Wozu?
DerWoWusste
DerWoWusste 28.07.2023 um 12:07:35 Uhr
Goto Top
theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.
Tobixz
Tobixz 28.07.2023 um 12:16:16 Uhr
Goto Top
genau das Ziel ist nicht den Klartext zu erlangen, sondern nach einem gleichen Password Hash zu suchen.
SlainteMhath
SlainteMhath 28.07.2023 um 12:19:33 Uhr
Goto Top
[...] Die Kennwörter sind nicht im Klartext zu erlangen. [...]

Ich bezog mich auf folgendes:
https://learn.microsoft.com/en-us/windows/security/threat-protection/sec ...
Spirit-of-Eli
Spirit-of-Eli 28.07.2023 aktualisiert um 12:32:05 Uhr
Goto Top
Zitat von @DerWoWusste:

theoretisch ist´s möglich, aber wie @SlainteMhath bereits erwähnt hat, wenn alles richtig gemacht ist, dann nicht.
Unsinn. Das hat mit richtig machen nichts zu tun. Die Kennwörter sind nicht im Klartext zu erlangen. Was er vermutlich möchte, ist aber etwas anderes: sehen, ob ein Kennwort existiert - und das geht über den Hash.

Soweit ich noch weiß, lässt sich die Konfig so verändert, dass Passwörter tatsächlich im Klartext gespeichert werden.
In sofern wäre dies dann keine gute Lösung.

Die beste Lösung ist tatsächlich die Hashs zu vergleichen. Merkwürdig, das MS dazu noch kein eigenes Tool in die GUI gebastelt hat.
DerWoWusste
Lösung DerWoWusste 28.07.2023 aktualisiert um 13:05:01 Uhr
Goto Top
Reversible encryption darf man unter keinen Umständen verwenden, das sollte klar sein face-smile und es ist auch nicht der Default.

Hier das Skript:
Import-Module DSInternals
$dictionary = "c:\temp\pwned-passwords-ntlm-ordered-by-hash-v8.txt"  
$accounts = Get-ADReplAccount -All -Server localhost
$output = $accounts | Test-PasswordQuality -WeakPasswordHashesfile $dictionary | out-file c:\temp\results.txt
Man benötigt dafür das Modul DSInternal von https://github.com/MichaelGrafnetter/DSInternals

Edit: die Datei mit den Hashes entweder selbst erzeugen, wenn man nur gewisse Kennwörter checken möchte:
Get-Content "c:\temp\zuCheckendePasswords.txt" | ConvertTo-SecureString -AsPlainText -Force | ConvertTo-NTHash | out-file $dictionary  
oder die Leakliste von hier runterladen: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
jsysde
jsysde 28.07.2023 um 19:49:15 Uhr
Goto Top
Moin.

Kannst dir ja mal LithNet anschauen:
https://github.com/lithnet/ad-password-protection

Damit kannste sowohl doppelte/einfache Passwörter finden als auch nen Abgleich gegen HIBP bzw. deren flat-file Datenbank machen. Komplett onPrem, wenn du das willst. Und es kann noch viel mehr als vergleichen, es kann auch verhindern, dass in HIBP gelistete Passwörter nicht mehr verwendet werden können.

Cheers,
jsysde