编辑:任何人都可以真正回答这个问题吗?谢谢,我不需要审计跟踪,我会知道所有密码并且用户无法更改它们,我将继续这样做。
这不是黑客攻击!
我们最近从一个陈旧而生锈的 Linux/Samba 域迁移到了一个活动目录。我们有一个自定义的小界面来管理那里的帐户。它始终将所有用户和所有服务帐户的密码以明文形式存储在安全位置(当然,你们中的许多人肯定不会认为这是安全的,但如果没有真正的漏洞,没人能读懂它)并禁用密码更改桑巴域控制器。此外,没有用户可以选择自己的密码,我们使用 pwgen 创建它们。我们不会每 40 天左右更换一次,而是每 2 年一次以奖励员工真正学习它们而不是写下来。
例如,我们需要密码才能进入用户帐户并修改对于组策略而言过于复杂的设置或帮助用户。
这些当然可能是有争议的政策,但我想在 AD 上继续它们。现在,我将新帐户及其 PWGEN 生成的(pwgen 创建带有大量元音、辅音和数字的好听的随机词)手动保存到旧脚本用于自动维护的旧文本文件中。
如何在 AD 中恢复此功能?
我看到 AD 帐户中有“可逆加密”,可能用于需要存储在服务器上的明文密码的质询响应身份验证系统。
是否有显示所有这些密码的脚本?那很好啊。(再次重申:我相信我的 DC 不会受到损害。)
或者我可以在 AD 用户和计算机中安装一个插件,获取每个新密码的通知并将其存储到文件中?
在可以使用 GINA-dll 的客户端上,他们可以获得有关密码的通知并获得明文。
在我看来,您通过使用他们的帐户登录来为用户提供支持 - 知道他们的密码?正如你所说,这是一个非常糟糕的主意,原因有很多。
我知道一些老派用户倾向于喜欢这样,他们只是耸耸肩,要求你远程修复它并给你他们的密码。但只是说不。除了他们自己,没有人应该知道他们的密码——基本原则。
大多数事情都可以从您自己的另一个用户上下文中修复。那些真的不能,并且需要与用户交互登录的人,要求用户这样做并留下来观看工作人员通过该用户的帐户修复内容。
远程有 RDP Shadow、Remote Help 和类似的交互式解决方案,用户可以控制,无需知道他或她的密码来帮助解决一些与桌面相关的问题。使用组策略基本上不需要这种行为,因为大多数事情都可以由管理员轻松配置。
如果您授予其他人访问其他人的用户帐户的权限 - 您也会失去对系统中用户所做操作的审计跟踪和责任 - 这很容易超出授权管理员组。
我不太确定我的 DC 是否安全。如果我是攻击者或渗透测试者,无论如何我不会先攻击你的 DC。我要追踪你的工作站和服务器。基本攻击向量:
除非你都是 Vista / Windows Server 2008 / Windows 7,否则这是大多数渗透测试者使用的基本攻击模式。这 3 个操作系统打破这种模式的原因是针对 LSA 机密的 DLL 注入攻击尚未针对这些操作系统起作用。
尽管如此,你不应该使用可逆加密,你应该禁用 LM 哈希。您需要 NTLM 哈希。而且您不想以明文形式存储这些密码。
你正在做的是一个非常非常糟糕的主意。如果您不希望用户必须管理密码,您可以为 AD 投资一个挑战/响应令牌系统,这将花费您最少的钱。
老实说,我不认为你想要这样做的理由是有效的。作为一名管理员,我从知道用户密码的想法中得到了大量的 heebeejeebees。这是他们的个人领域,你要求他们对你给予极大的信任。除此之外,如果有机密数据泄露,您将立即受到怀疑,因为您会知道用户的密码。缺乏可验证的审计跟踪是一个巨大的安全危险信号。规则 1 是“保护自己”,如果这意味着必须接受一些不便,那就这样吧。
我认为有一些替代解决方案可以完成你想要的,而不必像知道密码这样极端。您是否查看过组策略首选项?你的脚本技能如何?使用蛮力方法通常清楚地表明标准方法没有得到最佳使用,所以我认为你最好回溯并重新考虑你正在做的事情。
问责制、记录和跟踪。
几年来,我们一直在为这方面的管理而苦苦挣扎。CEO 和总裁多年来拒绝更改密码,7 年多来来来往往的 IT 人员都知道他们的密码。即使您“信任”每个人,多个不再是员工的人访问强大的帐户也是非常不安全的。更不用说他们所有人都知道其他人知道密码,并且使用它们是安全的。
我们一遍又一遍地向用户宣扬永远不要分享他们的密码,即使是与我们分享。这是防止“社交黑客”的开始 您有多少用户会将他们的密码提供给打电话并说他们是新 IT 人员之一的人?
如果我们绝对需要在用户帐户中做某事,我们让他们登录并使用霰弹枪,或者我们更改他们的密码。一旦我们更改了他们的密码,我们就对他们的帐户负责,他们不再负责,直到我们给他们一个新密码,并在帐户上标明用户下次登录时必须更改密码。这保留了日志记录和跟踪。用户可以在互联网上做的所有坏事、非法和不道德的事情。如果他们可以责怪许多知道他们密码的人,那可能会产生很多问题。
现在我们正在努力消除所有共享帐户登录,例如共享计算机。如果我们必须拥有一个,则该帐户的权限非常有限,并且无法访问互联网。
密码如此重要是有原因的。它们不仅保护您的数据,还保护您和您的用户等。不难找到或集思广益的例子。在脑海中播放对话。“他们都知道我的密码,其中一个人进入我的电脑并阅读了我情妇的电子邮件并告诉我妻子” 除了安全性之外,还有很多很多可能的隐私考虑。
布赖恩
ps 非常努力地不争论。虽然我没有回答这个问题,但确实反对做建议的事情。我还建议不要说这样的话,引用问题-“编辑:任何人都可以真正回答这个问题吗?谢谢,我不需要审计跟踪,我会知道所有密码并且用户无法更改它们,我将继续这样做。这不是黑客攻击!
我认为审计、问责制和一般安全问题已经得到充分解决,所以我会尝试不同的答案:)
可以在所有域控制器上安装密码更改通知服务,它将所有密码更改安全地转发到接收服务。
这是为 Identity Integration Server(现在的 Identity Lifecycle Manager)作为目标而设计的,但应该可以编写您自己的目标,甚至使用 MIIS/MILM 接收密码并通过另一个连接器将其转发到您自己的系统。
要回答这个问题,请阅读: http: //blog.teusink.net/2009/08/passwords-stored-using-reversible.html
文章底部描述了如何获取存储的可逆密码。没有尝试过,所以不知道该怎么做,但它应该可以工作。
除此之外,我同意其他对使用可逆加密的建议大喊大叫的人。它只是不安全。
您必须获取哈希(LM 或 NTLM)并对它们进行字典攻击。几乎不可能发现任何拥有中等复杂密码的人。不要启用“可逆加密”——您需要更改管理密码的方式。
Unlock Administrator可能会在不需要知道密码的情况下解决您的部分问题。
我已经看到侵入我们服务器的人使用了多种方法来做到这一点。最流行的方法是使用类似 pwdump4 的方法将密码哈希转储到文件中,然后通过 Rainbow Table 运行生成的哈希。有一些密码长度限制使这种方法变得更加困难,这就是为什么我们的管理密码都是 16 个字符或更长的原因。
一旦你投资了一套好的彩虹表(可以在互联网上的许多地方以高价购买,如果这真的是你的业务范围,那么成本不应该成为问题)转储 - 和-对于大多数用户来说,解密过程可以在 30 分钟内完成。
我们这样做了一次,以了解我们的用户密码是多么容易被猜到。在一次简单的字典攻击开始后,大约 30% 的密码在 5 分钟内被破解,近 80% 的密码在一天内通过自生成的 Rainbow Table 被破解。这是.... 3 年前,所以事情变得更快了。结果提交给了高层管理人员,他们很快同意加强(好吧,实际上是创建)密码策略。