Come posso valutare la forza delle password degli utenti nell'ambiente del mio ufficio?

4

Voglio assicurare la conformità della politica delle password nel mio ufficio.

Introduzione all'ambiente  Il mio ambiente è basato su Windows (server 2003/2008), la base utenti non è più di 400 dipendenti. Quasi il 90% di tutti gli utenti ha Windows XP O / S installato sulle proprie macchine. L'altro 10% è diviso tra Vista e Windows 7. La forza massima per la password è limitata a 10 caratteri.

Dichiarazione del problema  Voglio conoscere il modo più semplice, più veloce e più affidabile per testare le password degli utenti di Windows. Ho scaricato e utilizzato l'uso di molti strumenti di controllo della password (l0phtcrack, ophtcrack, samsinde).

Obiettivi  Voglio un approccio che mi consenta di enumerare gli account utente accedendo al controller di dominio e non dover andare su ogni singola macchina e quindi eseguire il software. Questa attività crea solo un carico di lavoro amministrativo non necessario. Inoltre, ho bisogno di un software che non richieda l'avvio in sistemi operativi alternativi (come nel caso di ophtcrack). Ciò potrebbe influire sulle prestazioni degli utenti e diventa anche noioso.

Voglio fare uso di tavoli arcobaleno. Le specifiche che mi sono state trasmesse non sono sufficienti per portare a termine un esauriente attacco di forza bruta nel tempo che mi viene dato dal senior management per completare il compito.

Tuttavia, non ho alcun problema per quanto riguarda l'archiviazione: posso dedicare fino a 1 TB per l'archiviazione delle tabelle arcobaleno. Apprezzerei se voi ragazzi poteste fornirmi il link adatto e guidarmi sulle cose che dovrei considerare prima di scaricare file di grandi dimensioni per il mio uso.

    
posta user1167026 06.04.2012 - 11:07
fonte

2 risposte

4

Aggiornato in riferimento al tuo aggiornamento:

Per un audit della forza della password, devi solo prendere il file SAM del dominio ed eseguire il tuo forcer preferito su di esso. Se preferisci utilizzare le tabelle arcobaleno, puoi semplicemente eseguire gli hash tramite lo strumento tabella arcobaleno.

Per la maggior parte dei fornitori di tabelle arcobaleno, l'idea è di fornire una porzione di tavolo arcobaleno in cambio di un download del negozio più grande. Una ricerca su google ti troverà alcune opzioni qui.

Un terabyte è probabilmente un inizio ragionevole, tuttavia ha senso scaricare una gamma di tabelle arcobaleno rilevanti per il tuo ambiente, quindi potresti voler riservare qualche terabyte - è così economico in questi giorni che ha senso superare le specifiche spazio di archiviazione.

    
risposta data 06.04.2012 - 16:03
fonte
2

Il modo più semplice, più veloce e più affidabile per testare le password degli utenti consiste nell'impostare requisiti di password minimi e forzare la reimpostazione della password a livello di dominio. Dopo che tutti avranno reimpostato le loro password, saprai che tutti soddisfano i tuoi requisiti minimi.

    
risposta data 10.04.2012 - 10:23
fonte

Leggi altre domande sui tag