【Powershell】企业安全警钟:弱密码的危害及AD密码审计实践

最新推荐文章于 2024-04-16 12:38:52 发布
最新推荐文章于 2024-04-16 12:38:52 发布
阅读量931 收藏 33
点赞数 27
分类专栏: Windows 网络安全 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153104/article/details/137499552
版权

在数字化时代,网络安全已经成为我们每个人都需要关注的问题。弱密码,作为网络安全的一大隐患,给个人隐私和企业数据安全带来了巨大的风险。本文将首先介绍弱密码的定义及其潜在危害,然后探讨如何有效避免设置弱密码,最后通过Powershell模块DSInternals对Active Directory(AD)账号密码进行审计,以增强账户安全性。

什么是弱密码?

弱密码,顾名思义,是指那些安全性较低、容易被猜测或破解的密码。它们通常由简单的数字、字母或特殊字符组成,例如“123456”、“password”或者“admin”。这类密码因为过于简单,很容易被攻击者通过社会工程学、暴力破解或字典攻击等手段获取。

弱密码的危害

弱密码的使用会导致多种安全问题。首先,它使得账户容易被入侵,攻击者可以窃取个人敏感信息、进行身份冒充或财务诈骗。其次,如果多个平台使用相同的弱密码,一旦其中一个平台的密码被泄露,其他平台的账户也将面临风险。此外,弱密码还可能导致个人隐私泄露,如家用摄像头被破解后,个人生活将无隐私可言。

如何避免弱密码?

为了避免弱密码带来的风险,我们应该采取以下措施:

  1. 长度与复杂性:密码应至少包含8个字符,并使用大小写字母、数字和特殊字符的组合。
  2. 避免常见词汇:不要使用容易猜到的单词、生日、纪念日或其他个人信息。
  3. 定期更换:定期(至少90天一次)更换密码,并确保新密码与旧密码有显著差异。
  4. 不重复使用:不同账户应使用不同的密码,避免一个账户被破解导致其他账户同样受到威胁。
  5. 使用密码管理器:考虑使用密码管理器来生成和存储复杂的密码,确保易于记忆且难以破解。

通过Powershell模块DSInternals审计AD账号密码

在企业环境中,Active Directory(AD)账号的安全性尤为重要。DSInternals是一个Powershell模块,它提供了一系列的工具和命令来审计和分析AD环境中的安全状况,包括账号密码的强度等。

安装

  • PowerShell Gallery (PowerShell 5+)
Install-Module DSInternals -Force
  • Chocolatey Package
choco install dsinternals-psmodule --confirm
  • WAPT Package
wapt-get install dsinternals
  • 离线安装

    1. 下载DSInternals模块
      下载地址:https://github.com/MichaelGrafnetter/DSInternals/releases (可能需要魔法)

    2. 解压缩ZIP文件

    3. 检查模块路径
      确保解压缩后的DSInternals目录被放置在PowerShell的模块路径中,默认情况下可能是:

      • C:\Windows\System32\WindowsPowerShell\v1.0\Modules\
      • C:\Users\YourUsername\Documents\WindowsPowerShell\Modules\

    4. 导入DSInternals模块

    Import-Module DSInternals

验证安装
为了验证DSInternals是否已成功安装并可以使用,尝试运行一个DSInternals的命令,例如Get-Help加上一个DSInternals的命令,看看是否能够得到相关的帮助信息。例如:

Get-Help Get-ADObject

在这里插入图片描述

密码审计

  1. 从HaveIBeenPwned下载公共密码泄露库
    A. 安装.NET SDK
    地址:https://dotnet.microsoft.com/en-us/download/dotnet/6.0
    B. 安装haveibeenpwned-downloader工具
    bash dotnet tool install --global haveibeenpwned-downloader
    如遇到无法解析的问题,运行以下

     ```bash
 dotnet nuget add source https://api.nuget.org/v3/index.json -n nuget.org
 ```
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/bf50c7418bf942be924a5a300adb1566.png)

    C. 下载NTLM hashes到一个文件

     ```bash
 haveibeenpwned-downloader.exe d:\pwned-passwords-ntlm-ordered-by-hash-v5 -s true -o -p 64 -n
 ```
 使用64个线程将所有NTLM哈希下载到D盘上的一个名为`pwned-passwords-ntlm-ordered-by-hash-v5`的文件中,并在文件已存在时覆盖它。

在这里插入图片描述
在这里插入图片描述

  1. 审计某个账号密码是否在公共密码泄露库中出现过
$cre = Get-Credential
$userinfo = Get-ADReplAccount -SamAccountName multiotp -Server 'dc.tech.com' -Credential $cre
$userinfo | Test-PasswordQuality -WeakPasswordHashesSortedFile "D:\pwned-passwords-ntlm-ordered-by-hash-v5.txt"

测试前特地将这个账号密码改成了一个肯定存在密码泄露库中的密码
在这里插入图片描述

  1. 审计所有账号密码是否在公共密码泄露库中出现过
$cre = Get-Credential
Get-ADReplAccount -All -Server 'dc.tech.com' -Credential $cre | Test-PasswordQuality -WeakPasswordHashesSortedFile "D:\pwned-passwords-ntlm-ordered-by-hash-v5.txt"

从运行结果看还是有几个用户的密码可能存在被撞库的风险
在这里插入图片描述

结语

弱密码是网络安全的一个普遍问题,它不仅威胁个人隐私,也给企业数据安全带来隐患。通过采取有效的防范措施,我们可以显著降低这一风险。同时,利用如DSInternals这样的工具,企业和组织可以更好地管理和审计账户密码,确保网络环境的安全。让我们共同努力,提高安全意识,防范弱密码,保护我们的数字世界。

参考

  • https://www.dsinternals.com/en/
  • https://www.powershellgallery.com/packages/DSInternals/
  • https://haveibeenpwned.com/Passwords
  • https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
KnightYangHJ
关注
  • 27
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
域账号口令扫描
wdy0078的博客
12-12 2923
域账号口令扫描工具准备:导出数据库文件:功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 工具准备: 1.vssadm...
AD用户密码状态检查
02-25
hta代码文件,可以查看windows活动目录(AD)中的用户的密码到期时间,非常的好用。找了好长时间,推荐收藏,推荐DIY。
AD账户密码扫描工具
weixin_34116110的博客
03-06 1168
工具授权:免费工具软件大小:275KB软件语言:简体中文作者博客:http://319216.blog.51cto.com更新时间:2017/02/22应用平台:Microsoft ActiveDirectory/Windows Server 2008/Windows Server 20121.用户列表文件可以使用Get-ADUser命令来获得,只需要Get-ADUser中用...
高危:密码问题
weixin_42660856的博客
12-04 1218
近期有不少用户反馈,由于服务器密码或数据库密码设置太简单,导致数据被黑客盗取、甚至删除,造成了严重的后果。 信息安全是一个看不见但是非常重要的工作,由于大部分中小企业没有专门的信息安全管理员,但我们在云上运行我们的软件,处理我们的业务,信息安全是无可回避。 本文不对信息安全做过多的解释,就近期我们了解到的情况来说,请用户朋友们务必做好如下两个工作: 第一,将密码修改为强密码密码(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如.
密码危害及账号密码配置要求
Eleven的个人小站
03-20 6759
账号密码作为信息安全的第一道屏障,验证码、密码加密等防御机制已成为大多数系统的标配,但仍有一些公司对此不够重视。轻者会导致非法登录,严重者可提权至管理员权限,甚至直接渗透内网,登录内网服务器。
ADSelfSecive Plus如何对AD域用户密码进行安全管理?
运维有小邓
10-08 363
为了应对密码攻击,IT管理员对AD域执行较为复杂的密码策略。域账户密码安全策略成为很多IT管理员都会讨论的话题。但随着互联网技术的不断发展,各类密码攻击技术层出不穷。密码策略的实施变得愈发困难。管理员需要借助工具才能更好的维护企业互联网环境安全密码攻击 ADSelfSeciver Plus是一款AD密码管理工具。其最大的特点就是在密码安全方面给出了多种策略。强制用户执行密码策略,通过较强的密码策略抑制外部攻击,进而保护用户信息安全。在密码策略的强制下用户必须在一段时间内对密码进行修改,如果规定
PowerShell批量修改AD用户密码属性的代码
09-21
主要介绍了PowerShell批量修改AD用户密码属性的代码,需要的朋友可以参考下
PowerShell 脚本中的密码保存的方法
09-20
### PowerShell脚本中的密码安全保存方法 在PowerShell脚本编写过程中,经常需要处理与密码相关的操作,例如在远程管理服务器、自动化部署流程或执行特定的任务时。然而,如何安全地处理这些密码信息是一个非常重要...
PowerShell脚本 随机密码生成器(ps随机密码生成器)
01-20
并保存,然后运行脚本,脚本运行的较慢,可以缩小powershell窗口,n分钟后去【$存盘目录】收取生成的密码 文件【小写加数字加特殊符号密码.txt】,【大小写加数字密码.txt】,【小写加数字密码.txt】。 提示:打入...
PowerShell生成随机密码的方法
01-20
PowerShell中可以使用c#,所以,可以把c#中生成随机密码方法套用给PowerShell。 小编以前看System.Web.Security命名空间的时候,发现下面有一个Membership类,下面有一个静态方法GeneratePassword(),使用它可以生成...
windows口令check工具和方法
03-12
windows系统的口令检查工具和方法。引用“彩虹table”暴力猜解windows系统口令。对于用户设置的简单密码可以短时间破译。
使用一次性密码解决方案更安全地验证身份
06-25
一次性密码是优先于标准密码的选择。由于用户对于密码的使用非常随意(如将密码写下来并成为网络钓鱼诈骗攻击的牺牲品),因此您必须强化身份验证过程。通过使用 IIS 7.0 插件模块模型,可利用硬件令牌和质询创建基于标准的 OTP 解决方案以及更加可靠且可立即投入生产运行的 OTP 解决方案。 应按照此处的示例亲自尝试一下。由于许多雇主以及面向消费者的界面(如在线银行)都采用 OTP,因此您应亲自熟悉一下此技术。
DSInternals:目录服务内部(DSInternals)PowerShell模块和框架
04-29
目录服务内部PowerShell模块和框架 介绍 DSInternals项目包含以下两个部分: 公开了Active Directory的一些内部功能,可以在任何.NET应用程序中使用。 代码库已经被集成到在如Active Directory的灾难恢复,身份管理,跨林迁移和密码强度的审计方案中使用了好第三方的商业产品。 提供在框架之上构建的易于使用的cmdlet。 这些是主要功能: 和有关所有用户注册的密钥凭据的系统信息的检索。 ,可发现共享相同密码或在诸如类的公共数据库中或在自定义词典中具有密码的帐户。 ,包括对NGC,FIDO2和STK密钥的支持。 还可以针对测试密钥。 也可以新的NGC密钥。 仅从IFM备份(ntds.dit + SYSVOL) 。 离线ntds.dit文件操作,包括哈希转储, 密码重置, 组成员身份更改, SID历史记录注入以及启用/ 禁用帐户。 通过
multiOTPCredentialProvider:multiOTP凭据提供程序是Windows 788.1102012(R2)2016的V2凭据提供程序,具有仅RDP和UPN名称支持等选项
05-05
multiOTPCredentialProvider multiOTP的multiOTP凭据提供程序是针对multiOTP强两因素身份验证解决方案(Apache许可证,版本2.0)的V2凭据提供程序的免费和开源实现。 (c)2016-2021 SysCo通信系统(自2016年以来的增强功能以​​及具有配置选项的简单安装程序) (c)2015-2016 ArcadeJust(“仅限RDP”增强功能) (c)2013-2015年最后一只松鼠IT 当前版本:5.8.1.1(2021-03-14) 二进制下载页面位于此处: : (下载链接位于页面底部) 请注意,multiOTPCredentialProvider-files-only-ABCDzip压缩文件仅包含x64和i386格式的DLL。 请考虑通过捐款支持该项目 请访问以获取其他支持。 支持Windows 7/8 / 8.
googleAuthenticator windows版1.5版
03-18
googleauth 动态密码win版 googleauthenticator windows版 winauth win10版
Invoke-WCMDump结合powershell进行密码获取
03-26
Credential Manager,中文翻译为凭据管理器,用来存储凭据(例如网站登录和主机远程连接的用户名密码),如果用户选择存储凭据,那么当用户再次使用对应的操作,系统会自动填入凭据,实现自动登录,凭据保存在特定的...
常用开源的口令检查审计工具_超级口令检测工具,网络安全高级工程师面试实战
最新发布
04-16 1110
Hydra是一款非常强大的暴力破解工具,它是由著名的黑客组织THC开发的一款开源暴力破解工具。Hydra是一个验证性质的工具,主要目的是:展示安全研究人员从远程获取一个系统认证权限。Aircrack是破解WEP/WPA/WPA2加密的主流工具之一,现在排名第一,受广大小伙伴的喜爱,Aircrack-ng套件包含的工具可用于捕获数据包、握手验证。可用来进行暴力破解和字典攻击。
multiOTP配置安装
04-02 532
https://code.google.com/p/google-authenticator/ 是google提供的OTP解决方案。 http://www.multiotp.net/ 是一个开源otp验证解决方案,继承了google的OTP方案, 可以通过pam模块与Radius验证服务器集成,安装包已经包括了Radius和Google OTP 模块。 安装比较简单,下载之后解...
内网渗透--提取域控NTDS
qq_62169455的博客
09-24 743
NTDS.DIT:为DC的数据库,内容有域用户、域组、用户hash等信息,域控上的ntds.dit只有可以登录到域控上的用户(如域管用户、DC本地管理员用户)可以访问,为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS该文件和SAM文件类似,是不能直接读取的,也不能复制。
探索DSInternals:深入Windows Active Directory的宝藏
gitblog_00050的博客
03-25 443
探索DSInternals:深入Windows Active Directory的宝藏 项目地址:https://gitcode.com/MichaelGrafnetter/DSInternals 在IT领域,尤其是企业网络管理中,Windows Active Directory(AD)扮演着至关重要的角色。而DSInternals是一个开源项目,由Michael Grafnetter创建,它提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值