Могу ли я получить все пароли активного каталога в виде открытого текста, используя обратимое шифрование? [закрыто]

Это звучит мне как, Вы оказываете пользовательскую поддержку путем вхождения в систему с их учетными записями - знание их паролей? Как Вы сказали, это - очень плохая идея по многим причинам.

Я знаю, что некоторые oldschool пользователи склонны любить это, они просто пожимают плечами и просят, чтобы Вы зафиксировали его удаленно и дали Вам их пароль. Но просто скажите "нет". Никто не должен знать их пароль, но их - основной принцип.

Большинство вещей может быть починено от другого пользовательского контекста, Вашего собственного. Те, кто действительно не может и должен быть сделан с пользователем в интерактивном режиме, вошли в систему, потребуйте, чтобы пользователь сделал это и остался и смотрел, поскольку штат фиксирует материал через учетную запись того пользователя.

Удаленно существует Тень RDP, Удаленная Справка и подобные интерактивные решения, где пользователь сознает ситуацию и никто не должен знать, что его пароль помогает с некоторой связанной с рабочим столом проблемой. С Групповыми политиками нет в основном никакой потребности в этом поведении так или иначе, так как большинство вещей легко настроено администратором.

Если Вы предоставляете других людей доступ к учетным записям пользователей других людей - Вы также теряете журнал аудита и отслеживаемость для действий, сделанных пользователями в системе - который мог легко выйти за пределы авторизованной группы администраторов.

Я не был бы так уверен, что мой DC безопасен. Если я был взломщиком или перьевым тестером, я не следую за Вашим DC сначала, так или иначе. Я следую за Вашими рабочими станциями и серверами. Основной вектор атаки:

1. Узнайте слабое имя пользователя/пароль или домен или некоторый сервис (скажите, что учетная запись sa на SQL Server) или уязвимость, которую я могу использовать, который позволяет мне получить права администратора (исправляют Ваши системы, людей).
2. Найдите систему, где та учетная запись имеет права администратора.
3. Выведите Секреты LSA для нахождения имени пользователя/пароля всех сервисных учетных записей.
4. Используйте CacheDump для дампа кэшируемого имени пользователя/паролей.
5. Посмотрите, есть ли у какого-либо из тех права администратора где-нибудь.
6. Повторитесь 1-5, пока я не получу учетную запись администратора домена.
7. Используйте учетную запись администратора домена для контроллера домена доступа.
8. Выведите SAM контроллера домена.
9. Используйте таблицы радуги для взламывания большего количества паролей или грубой силы при необходимости офлайн.

Если Вы не вся Vista / Windows Server 2008 / Windows 7, это - основной шаблон нападения, используемый большей частью pentesters. Причина те 3 Ose повреждают шаблон, состоит в том, потому что нападение Внедрения DLL на Секреты LSA не было сделано работать против тех Ose.

Со всем, что сказало, Вы не должны использовать обратимое шифрование, и необходимо отключить хеши LM. Вы хотите хеши NTLM. И Вы не хотите хранить те пароли в простом тексте.

То, что Вы делаете, действительно, действительно плохая идея. Если Вы не хотите, чтобы пользователи должны были управлять паролями, можно вложить капитал в маркерную систему проблемы/ответа для AD, который будет стоить Вам минимальных денег.

Честно говоря, я не думаю Ваше обоснование для желания сделать, это допустимо. Как администратор я получаю главную дозу heebeejeebees от мысли о знании пароля пользователя. Это - их персональная территория, и Вы просите, чтобы они поместили ОГРОМНЫЙ уровень доверия в Вас. Даже кроме этого, если бы существует когда-нибудь утечка конфиденциальных данных, Вы будете немедленно находиться под подозрением, поскольку Вы знали бы пароли пользователя. Отсутствие журнала аудита поддающегося проверке является колоссальной безопасностью красный флаг. Правило 1, "защищают себя", и если это означает иметь необходимость принять некоторое неудобство, то пусть будет так.

Я думаю, что существуют альтернативные решения, которые выполнят то, что Вы хотите, не имея необходимость переходить к такому экстремальному значению как знание паролей. Вы посмотрели на предпочтения групповой политики? Как что Ваши навыки сценариев? Использование методов грубой силы обычно является ясным признаком, что стандартный подход не используется оптимально, таким образом, я думаю, что Вы были бы далеко более обеспеченным отслеживанием в обратном порядке и пересмотром прежнего мнения, что Вы делаете.

Отслеживаемость, регистрируясь и отслеживая.

Мы боролись с управлением по этому в течение нескольких лет. Генеральный директор и президент отказались изменять их пароль в течение многих лет и каждого парня IT, который пришел и ушел в 7 +, годы знали свои пароли. Даже если Вы "Доверяете" всем, это очень небезопасно для нескольких человек, которые больше не являются сотрудниками, чтобы иметь доступ к мощным учетным записям. Уже не говоря об этом все они знают, что другие знают пароли, и было бы безопасно использовать их.

Мы проповедуем пользователям много раз, чтобы никогда совместно использовать их пароли, даже с нами, когда-либо. Это - запуск для предотвращения "Социального Взламывания", Сколько из пользователей выделило бы их пароль кому-то вызов и высказывание, что они - один из новых парней IT?

Если мы абсолютно должны быть в пользовательской учетной записи, чтобы сделать что-то, мы сделали, чтобы они вошли в систему и ехали рядом с водителем, или мы изменяем их пароль. Как только мы изменяем их пароль, мы затем ответственны за их учетную запись, и они больше не ответственны, пока мы не даем им новый пароль с учетной записью, отмеченной, что пользователь должен изменить пароль при следующем входе в систему. Это сохраняет вход и отслеживание. Со всем плохо, недопустимый, и неэтичный, который пользователи могут сделать в Интернете. Если они могут обвинить многих других, которые знают их пароли, это могло генерировать много проблем.

Теперь мы работаем над устранением всего общего такого логинов учетной записи что касается общих компьютеров. Если мы должны иметь один, та учетная запись имеет очень ограниченные права и никакой доступ в Интернет.

Существует причина, почему пароли так важны. Они не должны только защищать Ваши данные, они там для защиты Вас и Ваших пользователей и т.д. Не трудно найти или провести коллективное обсуждение примеров. Играйте переговоры в голове. "Они все знали мой пароль, и один из них вошел в мой компьютер, и прочитайте электронную почту от моей любовницы, и сказал моей жене, что" существуют многие, много возможных соображений конфиденциальности кроме безопасности.

Brian

попытка p.s. очень трудно, чтобы не быть спорным. Хотя я не отвечал на вопрос, но действительно конъюнктурно высказывался против выполнения, что предлагается. Я также рекомендовал бы не говорить вещи как это, кавычка от вопроса - "РЕДАКТИРОВАНИЕ: кто-либо может на самом деле ответить на вопрос? Спасибо, мне не нужен никакой журнал аудита, я буду знать все пароли, и пользователи не могут изменить их, и я продолжу делать так. Это не для взламывания!"

1. Это удалило бы Вас из Вашего задания как Системный администратор во многих, многих компаниях.
2. Отношение, такое как это могло также повлиять на любые будущие вакансии для Вас. Я сразу устранил бы любого подающего заявление на Администраторскую должность Sys в нашей компании, если бы я погуглил их и нашел, что они поставили этот вопрос.
3. Я пытаюсь очень трудно вообразить, какой сценарий был бы нужен и поддерживал бы это. Семейство людей 3-4 только офис, возможно. Я видел, что это отношение было распространено в религиозном сценарии, но даже затем никто не прекрасен и может сделать ошибки.
4. Если это чрезмерно спорно или бранное слово, не стесняйтесь редактировать или удалять p.s.

Я думаю аудит, отслеживаемость, и общие проблемы безопасности были соответственно обращены, таким образом, я попробую другой ответ :)

Существует Сервис Уведомления об Изменении пароля, который может быть установлен на всех контроллерах домена, которые передадут все изменения пароля надежно сервису получения.

Это было разработано для Сервера интеграции Идентификационных данных (теперь менеджер по Жизненному циклу Идентификационных данных) как цель, но должно быть возможно записать Вашу собственную цель или даже использовать MIIS/MILM, чтобы получить пароль и передать его через другой коннектор к Вашей собственной системе.

Необходимо было бы получить хеши (или LM или NTLM) и сделать атаку с подбором по словарю на них. Любого с умеренно сложным паролем было бы почти невозможно обнаружить. Не включайте "обратимое шифрование" - необходимо изменить способ, которым Вы управляете паролями.

Разблокируйте Администратора, мог бы решить часть Вашей проблемы, не требуя знания пароля.

Существует множество способов сделать это, которое я видел используемый людьми, которые проникли через наши серверы. Самый популярный метод должен вывести хэши пароля в файл с помощью чего-то как pwdump4, и затем выполнив получающиеся хеши через Таблицу Радуги. Существуют некоторые пределы длины пароля, которые делают этот подход намного тяжелее, который является, почему наши пароли администратора являются всеми 16 символами или дольше.

После того как Вы вложили капитал в хороший набор таблиц радуги (может иметься за хорошие деньги много мест в Интернете, и если это действительно - направление деятельности для Вас, стоимость не должна быть проблемой), процесс выводить-и-дешифровать может быть сделан меньше чем через 30 минут для большинства пользователей.

Мы сделали это однажды для получения ощущения того, как легко предполагаемый пароли нашего пользователя были. Что-то как 30% паролей было взломано в течение 5 минут после того, как запуск простой атаки с подбором по словарю, и близко к 80% был взломан через самосгенерированную Таблицу Радуги менее чем за день. Это было.... 3 года назад, таким образом, вещи стали быстрее. Результаты были представлены верхнему управлению, кто быстро согласился увеличить (хорошо, на самом деле создать) политики паролей.

Поскольку другие покрыли, Ваша политика и методы являются неортодоксальными в лучшем случае Ранее упомянутый Разблокировали Администратора, походит на достойный компромисс (никакая предназначенная игра слов). Ваша формулируемая цель для знания Ваших паролей пользователя это для оказания поддержки в их профиле пользователя Windows.Отлично. Когда Ваши пользователи будут нуждаться в поддержке и должны будут быть где-то в другом месте, сделайте, чтобы они заблокировали свою рабочую станцию. Затем с Разблокировали Администратора, можно разблокировать станцию и остаться в их профиле пользователя.

Вы теряете способность приблизиться к любой рабочей станции, но Вы больше не должны знать их пароль. Это походит на достойный компромисс между безопасностью и простотой поддержки.

Microsoft имеет их продукт ILM, который может копировать пароли, возможно, к внешнему хранилищу LDAP.

Получите L0phtcrack и выполните его против DC. Может занять ЧАСЫ, но это должно смочь получить большинство паролей.

Я на самом деле наткнулся на это, потому что я искал то же самое, но мои побуждения для знания паролей пользователя очень отличаются.

Я перемещаю прежнее сетевое администраторское решение использования IIS для клиента хостинг FTP, недавно мы нашли, что наш ftp IIS был груб, вызвал и размещал шпионское ПО. Пароли пользователя не были зарегистрированы просто сброс, если кто-то забыл, Таким образом, я перемещаюсь в другое решение (FileZilla), который не использует AD. Я должен воссоздать все эти AD учетные записи с теми же паролями (поставленные под угрозу исключенные учетные записи) для создания миграции очевидной для конечных пользователей. С тех пор нет никакой утилиты миграции IIS для FileZilla, моя единственная надежда состоит в том, чтобы взломать пользовательские пароли.

Я открыт для любых предложений о том, как выполнить это, не взламывая пользовательские пароли.