Слабый пароль в Active Directory, как обнаружить?

Срок действия вашей учетной записи истек в Windows 10? В этом руководстве мы покажем вам, что делать, если срок действия вашей учетной записи истекает в Windows 10.

Проблематика

Аккаунт Active Directory обладает двумя идентификаторами – открытый и закрытый. Открытым принято считать логин, закрытым — пароль. Оба этих идентификатора участвуют в процессе аутентификации. Во время него пользователь вводит парольную фразу, с которой берется хеш-функция. Далее, происходит процесс сравнивания этого значения с значением, хранимым в базе При совпадении этих значений и соответствию логину — процесс аутентификации считается успешным.

Проблематика состоит в том, что даже при использовании политик паролей, технически возможно задать слабый пароль, например, значения Pa$$w0rd или Pa$$w0rd01. Это частное явление ввиду того, что пользователи очень редко думают о безопасности своих учетных записей. Для администраторов и инженеров информационной безопасности использование слабых паролей является проблемой и в качестве решения возможно использование PowerShell модуля DSInternals.

Данный модуль позволяет проверить используется ли значение слабой парольной фразы в качестве пароля для доменных служб Active Directory. Технически будет происходить взятие хеш-функции с заранее подготовленного словаря и сравнение со значениями в базе В случае совпадения, информация о проблемном аккаунте будет выведена в виде отчета.

Тестировать на продакшн системе можно, но с условием выполнения операций на тестовом контроллере домена. Его можно подготовить, восстановив контроллер домена из бекапа в изолированной среде.

Вот что нужно сделать, если срок действия вашей учетной записи истек в Windows 10

  1. Отключить срок действия пароля
  2. Отключить истечение срока действия учетной записи пользователя

1. Отключить срок действия пароля

Если срок действия вашей учетной записи истек, возможно, вы сможете решить проблему, просто отключив срок действия пароля. Это довольно просто сделать, и вы можете сделать это, выполнив следующие действия:

Вот что нужно сделать, если срок действия вашей учетной записи истек в Windows 10
  1. В окне рабочего стола нажмите клавиши Windows Key + R , чтобы открыть диалоговое окно «Выполнить».
  2. Введите и нажмите Enter , чтобы открыть Менеджер локальных пользователей и групп .
  3. Найдите и выберите Пользователи .
  4. Нажмите на учетную запись пользователя, который вы хотите отключить срок действия пароля.
  5. В окне «Свойства» выбранной учетной записи пользователя перейдите на страницу Общие .
  6. Найдите параметр Срок действия пароля и установите флажок рядом с ним.
  7. Сохраните изменения и перезагрузите компьютер.
Читайте также:  Как открыть редактор реестра в Windows 10

Вы также можете отключить срок действия пароля через командную строку. Это действие может быть немного сложнее, особенно для начинающих технических специалистов. Поэтому будьте осторожны и убедитесь, что вы не выполняете другую команду.

Выполните следующие действия, чтобы отключить истечение срока действия пароля для учетной записи пользователя (в Windows 10) через командную строку:

  1. Откройте меню Пуск .
  2. В меню «Пуск» найдите и выберите Все приложения .
  3. Перейдите в раздел Система Windows и нажмите на него (чтобы развернуть).
  4. В отображаемых параметрах щелкните правой кнопкой мыши Командная строка .
  5. Выберите Запуск от имени администратора .
  6. В командной строке введите wmic UserAccount, где Name = ‘username’, установите PasswordExpires = False и нажмите Enter . ,
  7. Как только вы получите Обновление свойства успешно , все готово!

Это действие гарантирует, что срок действия пароля учетной записи пользователя не истек.

Вот что нужно сделать, если срок действия вашей учетной записи истек в Windows 10

В случае, если срок действия учетной записи пользователя истекает в определенное время, вы можете попробовать следующее решение, чтобы сбросить учетную запись пользователя «никогда не истекает».

2. Отключить истечение срока действия учетной записи

В то время как истечение срока действия пароля требует только сброса/изменения пароля для доступа к вашему ПК, истечение срока действия учетной записи пользователя полностью ограничивает ваш доступ. Если срок действия вашей учетной записи истек, просто сделайте следующее:

  1. Откройте меню «Пуск» .
  2. Найдите и выберите Администрирование .
  3. В открывшемся окне выберите Пользователи и компьютеры Active Directory .
  4. Найдите и раскройте имя своей учетной записи (домена).
  5. Перейдите на вкладку Пользователи и щелкните правой кнопкой мыши имя пользователя.
  6. В списке параметров выберите Свойства .
  7. Перейдите на вкладку Аккаунт и выберите Никогда в разделе Срок действия аккаунта .
  8. Нажмите Применить> ОК (в нижней части окна дисплея).
  9. Выйдите из окна.

После завершения этого процесса ваша учетная запись пользователя может работать беспрепятственно (без истечения срока действия).

Вот что нужно сделать, если срок действия вашей учетной записи истек в Windows 10

Если срок действия вашей учетной записи истек, у вас могут возникнуть проблемы при входе в учетную запись пользователя и использовании компьютера. Однако это можно исправить с помощью одного из этих решений.

Читайте также:  Автоматическое резервное копирование средствами Windows 10

Пароли из SYSVOL и GPP

На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.

Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.

Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех. Рассмотрим два способа добиться такого результата.

Учетные данные в SYSVOL

SYSVOL — это общедоменный ресурс Active Directory, к которому у всех авторизованных пользователей есть доступ на чтение. SYSVOL содержит сценарии входа, данные групповой политики и другие данные, которые должны быть доступны везде, где распространяется политика домена. При этом SYSVOL автоматически синхронизируется и используется всеми контроллерами домена. Все групповые политики домена хранятся по адресу

\\<Домен>\SYSVOL\<Домен>\Policies\

Пароли из SYSVOL и GPP

Чтобы упростить управление локальной учетной записью администратора на удаленных компьютерах с Windows, для каждой из них можно использовать собственный сценарий смены пароля. Проблема в том, что часто пароль хранится в виде открытого текста в скрипте (например, в файле VBS), который, в свою очередь, находится в SYSVOL. Вот пример одного из результатов поиска сценария VBS, меняющего пароль локального администратора на сетевых машинах.

Пример VBS-скрипта с официального сайта MSDN

Этот сценарий доступен в галерее Microsoft TechNet, из-за чего нередко используется системными администраторами, которые предпочитают готовые решения. Извлечь из него пароль не составляет никакого труда. А поскольку скрипт хранится в SYSVOL, к которому у каждого пользователя домена есть доступ для чтения, наличие пароля автоматически превращает его обладателя в локального администратора на всех сетевых машинах с виндой на борту.

Настройки групповой политики

В 2006 году инструмент PolicyMaker от Microsoft Bought Desktop Standard был переименован и выпущен вместе с Windows Server 2008 как Group Policy Preferences (GPP, «предпочтения групповой политики»). Одна из наиболее полезных функций GPP — возможность создавать локальных пользователей, настраивать и изменять их учетки, а также сохранять учетные данные в нескольких файлах сценариев:

  • карта дисков ();
  • источники данных ();
  • конфигурация принтера ();
  • создание/обновление сервисов ();
  • запланированные задачи ().
Читайте также:  Windows не удается подключиться к принтеру: как исправить проблему?

Инструмент, безусловно, полезный: с его помощью можно автоматизировать многие рутинные действия. Например, GPP позволяет использовать групповую политику для выполнения запланированных задач с заданными учетными данными, а также при необходимости менять пароли локального администратора на большом количестве компьютеров.

Теперь давай посмотрим, как эта штука работает. При создании нового предпочтения групповой политики в SYSVOL генерируется связанный XML-файл с соответствующими данными конфигурации. Если в ней указан пароль пользователя, он будет зашифрован AES 256 бит. Но в 2012 году Microsoft опубликовала в MSDN ключ AES, который можно использовать для расшифровки пароля.

Ключ шифрования, представленный MSDN

Иными словами, любой авторизованный в домене юзер может найти в общем ресурсе SYSVOL файлы XML, содержащие cpassword, то есть зашифрованный пароль AES.

Пример содержимого файла

Быстро найти эти значения можно следующей командой:

Пароли из SYSVOL и GPP

C:\> findstr /S /I cpassword \\<FQDN>\sysvol\<FQDN>\policy\*. xml

Для расшифровки пароля можно воспользоваться инструментом Cryptool, при этом нужно в ручном режиме декодировать Base64 и указать ключ с MSDN (подробная инструкция по расшифровке приведена в статье на Хабре). Существует и полностью автоматизированное средство под названием gpp-decrypt, которое требует только значение cpassword и уже предустановлено в Kali Linux. Аналогичная утилита для Windows называется Get-GPPPassword, ее можно отыскать в наборе программ PowerSploit.

Ну а для очень ленивых есть модуль smb_enum_gpp из набора Metasploit. Этот инструмент попросит указать только учетные данные пользователей и адрес контроллера домена.

Так мы можем получить пароль локального администратора, и в большинстве случаев он будет работать на всех компьютерах домена.

IP адрес вашего SMTP сервера для отправки писем.

189  .Item(«») = «»Копируем весь текст .Создаём файл VBS и вставляем в него текст. Ставим данный файл в задание на почтовом сервере с запуском каждое утро в 9-00 .

IP адрес вашего SMTP сервера для отправки писем.

Тестируем.Считаю что данное детище, отличное воплощение по поставленной задаче: Оповещение пользователей о окончании срока пароля по почте.Ленивые люди, двигатель прогресса.

 Для более приятной картины письма, с фотографиями пользователей, рекомендую почитать статью Добавить фотографию пользователю Active directory