编辑:任何人都可以回答这个问题吗? 谢谢,我不需要审计跟踪,我会知道所有的密码和用户不能改变他们,我会继续这样做。
这不是黑客!
我们最近从旧的和生锈的Linux / Samba域迁移到活动目录。 我们有一个自定义的小界面来pipe理那里的帐户。 它始终将所有用户和所有服务帐户的密码以明文forms存储在一个安全的位置(当然,你们中许多人一定不会认为这是安全的,但没有真正的漏洞,没有人可以阅读),并禁用密码更改samba域控制器。 另外,没有用户可以select他自己的密码,我们使用pwgen创build它们。 我们不会每隔40天左右更换一次,而是每两年只能奖励员工真正学习,而不是写下来。
我们需要密码才能进入用户帐户,并修改对于组策略来说太复杂的设置或帮助用户。
这些可能肯定是有争议的政策,但我想继续他们的广告。 现在,我保存了新的帐户和他们的PWGEN生成的(pwgen创build好听起来随机单词与元音,辅音和数字很好的数量)手动到旧的文本文件,旧脚本用于自动维护。
我怎样才能在AD中获得这个function?
我发现AD帐户中存在“可逆encryption”,可能是需要存储在服务器上的明文密码的质询响应authentication系统。
有没有脚本显示所有这些密码? 那太好了。 (再说一遍:我相信我的DC不会受到影响。)
或者我可以在AD用户和计算机中插入一个插件,以获取每个新密码的通知并将其存储到文件中?
在使用GINA-dll的客户端上,他们可以得到关于密码的通知并获得明文。
要回答这个问题,请阅读: http : //blog.teusink.net/2009/08/passwords-stored-using-reversible.html
在文章的底部描述了如何获得存储的可逆密码。 没有尝试过,所以不知道如何描述如何做,但它应该工作。
除此之外,我同意其他那些对狼使用可逆encryption的build议。 这只是不安全。
这听起来像你通过login帐户给用户支持 – 知道他们的密码? 正如你所说,这是一个非常糟糕的主意,原因很多。
我知道一些老学校的用户倾向于这样做,他们只是耸耸肩,并要求你远程修复,并给你他们的密码。 但是,只是说不。 没有人应该知道他们的密码,但他们自己 – 基本原则。
大多数情况下,可以从另一个用户上下文来修复。 那些真正做不到的,需要交互式login才能完成的用户需要用户这样做,并留下来看着工作人员通过用户的账户来修复东西。
远程有RDP阴影,远程帮助和类似的交互式解决scheme,用户可以控制,没有人需要知道他或她的密码,以帮助解决一些与桌面相关的问题。 使用组策略基本上不需要这种行为,因为大多数事情都可以由pipe理员轻松configuration。
如果您允许其他人访问他人的用户帐户,那么您也将失去系统中用户所做操作的审计追踪和责任 – 这可能很容易超出授权pipe理员组的范围。
我不太确定我的DC是否安全。 如果我是攻击者或钢笔testing者,无论如何我都不会追求你的DC。 我正在追求你的工作站和服务器。 基本攻击vector:
除非你是Vista / Windows Server 2008 / Windows 7,否则这是大多数testing者使用的基本攻击模式。 这三种操作系统打破这种模式的原因是因为针对LSA秘密的DLL注入攻击还没有对这些操作系统进行操作。
尽pipe如此,你不应该使用可逆encryption,你应该禁用LM散列。 你想要NTLM哈希。 而且你不想以纯文本存储这些密码。
你在做什么是一个非常非常糟糕的主意。 如果你不希望用户必须pipe理密码,你可以投资于AD的挑战/响应令牌系统,这将花费你最less的钱。
说实话,我不认为你想这样做的理由是有效的。 作为一个pipe理员,我知道用户的密码,从中得到了一大笔heebeejeebees。 这是他们个人的领土,而且你要求他们对你有很大的信任。 即使除此之外,如果有任何机密的数据泄漏,您将立即怀疑,因为您知道用户的密码。 缺乏可validation的审计线索是一个巨大的安全红旗。 规则1是“保护你自己”,如果这意味着不得不接受一些不便,那就这样吧。
我认为还有其他解决scheme可以实现你想要的,而不必像知道密码那样极端。 你看过组策略偏好吗? 你的脚本技能是什么样的? 蛮力方法的使用通常清楚地表明标准方法没有得到最佳利用,所以我认为,如果你回溯和重新思考你正在做的事情,你会好得多。
问责制,logging和追踪。
几年来,我们一直在努力解决这个问题。 首席执行官和总裁拒绝改变密码多年,每个有7年以上来去的IT人员都知道他们的密码。 即使你“信任”每个人,对于不再是员工的多个人来说,访问强大的账户也是非常不安全的。 更别说他们都知道其他人知道密码,使用它们是安全的。
我们一遍又一遍地向用户传播,永远不会分享他们的密码,甚至与我们分享。 这是防止“社交黑客”的开始有多less用户会将密码输出给某个人,并称他们是新的IT人员之一?
如果我们绝对需要在用户帐户中做某事,我们让他们login并骑霰弹枪,或者我们更改密码。 一旦我们改变了密码,我们就要为他们的账户负责,并且他们不再负责,直到我们给他们一个新的密码,标记为用户必须在下一次login时更改密码的账户。 这保留了日志logging和跟踪。 用户可以在互联网上使用任何不良,非法和不道德的东西。 如果他们能够指责许多知道密码的人,就会产生很多问题。
现在我们正在努力消除所有共享帐户login,例如共享计算机。 如果我们必须拥有这个帐户,那么这个帐户的权利就非常有限,并且不能上网。
有一个原因,为什么密码是如此重要。 他们不仅仅是为了保护你的数据,他们在那里保护你和你的用户等。不难发现或头脑风暴的例子。 在你的头上玩对话。 “他们都知道我的密码,其中一个上了我的电脑,阅读了我的情妇的电子邮件,并告诉我的妻子说:”除了安全之外,还有许多可能的隐私问题。
布赖恩
ps非常努力的不要争辩。 虽然我没有回答这个问题,但是做了一些社论来反对做这个build议。 我也build议不要说这样的事情,引用问题 – “编辑:任何人都可以真正回答这个问题吗?谢谢,我不需要审计线索,我会知道所有的密码,用户不能改变他们,我将继续这样做,这不是黑客!“
我认为审计,问责制和一般安全问题已经得到充分解决,所以我会尝试一个不同的答案:)
有一个密码更改通知服务 ,可以安装在所有域控制器上,将所有密码更改安全地转发到接收服务。
这是为身份集成服务器(现在的身份生命周期pipe理器)devise的,但应该可以编写自己的目标,甚至可以使用MIIS / MILM来接收密码,并通过另一个连接器将其转发到自己的系统。
你必须得到哈希(LM或NTLM),并对其进行字典攻击。 任何具有适度复杂密码的人都几乎不可能发现。 不要启用“可逆encryption” – 你需要改变你pipe理密码的方式。
解锁pipe理员可能会解决您的部分问题,而不需要知道密码。
有很多方法可以做到这一点,我已经看到已经渗透到我们的服务器的人使用。 最stream行的方法是使用类似于pwdump4的方式将密码哈希转储到文件中,然后通过彩虹表运行结果哈希。 有一些密码长度的限制,这使得这种方法更难,这就是为什么我们的pipe理密码都是16个字符或更长。
一旦你投资了一套好的彩虹桌子(可以在互联网上的很多地方赚到好价钱,如果这真的是你的业务线,那么成本就不应该成为问题)。大多数用户可以在30分钟内完成解密过程。
我们这样做了一次,以便了解如何轻松猜测用户的密码。 在简单的字典攻击开始后的5分钟内,有30%的密码被破解,接近80%是在一天之内通过自发的彩虹表破解的。 这是…… 3年前,事情变得更快了。 结果被提交给高层pipe理人员,他们很快同意加强(好的,实际上是创build)密码政策。
正如其他人所说,你的政策和做法充其量是非正统的。 以前提到的解锁pipe理员似乎是一个体面的妥协(没有双关语意图)。 您明确的目的是要知道您的用户密码,以便在其Windows用户configuration文件中提供支持。 精细。 当你的用户需要支持,并需要在别的地方,让他们locking他们的工作站。 然后解锁pipe理员,您可以解锁电台,并保持在他们的用户configuration文件。
你失去了走到任何工作站的能力,但你不再需要知道他们的密码。 这似乎是一个安全和易于支持之间的体面妥协。
微软有他们的ILM产品可以复制密码,也许到外国的LDAP商店。
得到L0phtcrack并运行它对DC。 可能需要小时,但它应该能够获得大部分密码。
我真的偶然发现了这个,因为我正在寻找同样的东西,但是我知道用户密码的动机是完全不同的。
我正在迁移使用IIS客户FTP托pipe的前networkingpipe理员解决scheme,最近我们发现我们的IIS FTP已被暴力强迫,并托pipe间谍软件。 如果有人忘记了,用户密码没有被logging下来,所以我正在转向另一个不使用AD的解决scheme(FileZilla)。 我需要使用相同的密码重新创build所有这些AD帐户(不包括受损的帐户),以使迁移对最终用户透明。 由于FileZilla没有IIS迁移工具,我唯一的希望就是破解用户密码。
我打开任何build议如何做到这一点,而不破解用户密码。