在 Active Directory 中查找弱密码

了解网络中任何用户帐户的凭据会给对手带来巨大的力量。以合法用户身份登录后，他们可以横向移动到其他系统并升级权限以部署勒索软件、窃取关键数据、破坏重要操作等。

大多数组织都知道这一点，并采取措施保护用户凭据。特别是，他们使用 Active Directory 密码策略来强制执行密码长度、复杂性和历史记录要求，并制定一项策略，在登录尝试失败一定次数后锁定帐户。所以他们很安全，对吧？

不幸的是没有。即使有了这些控制措施，许多人仍然选择容易猜到的密码，例如 Winter2017 或 Password!@#，因为它们符合公司标准，但很容易记住。这些弱密码使组织很容易受到攻击者用来在网络中站稳脚跟的最简单的攻击之一：猜测。

您可能会对这种策略的效果感到惊讶。让我们看一下密码猜测攻击的示例，然后探讨如何评估您的漏洞并加强您的网络安全。

密码喷射攻击的工作原理

在密码喷射攻击中，攻击者会选择一个常用密码并尝试使用它登录组织中的每个帐户。大多数尝试都会失败，但帐户的单次登录失败不会触发锁定。如果所有尝试都失败了，他们只需使用库中的下一个密码重试即可。如果他们发现您组织中只有一名用户选择的密码，那么他们就进入了您的网络，准备造成严重破坏。

攻击者执行密码喷射攻击的一种方法是使用 CrackMapExec，这是一种可以从 Github 付费下载的实用程序。 CrackMapExec 与 Mimikatz 模块（通过 PowerSploit）捆绑在一起，以协助凭据收集。攻击的原理如下：

步骤 1. 检查 Active Directory 密码策略和锁定策略。

为了避免锁定，攻击者需要知道他们可以猜测每个帐户有多少个错误密码。为了选择可能有效的密码，他们需要了解公司的 AD 密码策略。 CrackMapExec 给了他们两个。以下是它提供的输出示例：

现在攻击者知道，在这种环境下，他们可以猜测每个用户的密码 9 次，而不会触发锁定。 他们还可以看到最小密码长度为 5 个字符并且启用了密码复杂性；此信息可用于制作候选密码的自定义字典，而无需浪费对策略拒绝的密码的猜测。 （或者，他们可以使用通过数据泄露的密码转储创建的多个密码列表之一，这些密码列表也可以在 GitHub 上轻松获得。）

步骤 2. 枚举所有用户帐户。

接下来，攻击者需要一个帐户列表来尝试密码。他们可以使用 LDAP 查询轻松提取所有用户帐户的列表，也可以使用 CrackMapExec 的 rid-brute 功能，如下所示：

步骤 3. 针对所有用户帐户尝试每个密码。

有了所有 AD 用户帐户的列表 (users.txt) 和候选密码列表 (passwords.txt)，攻击者只需发出以下命令：

此命令将针对每个帐户尝试每个密码，直到找到匹配项：

发现您的弱密码

正如您所看到的，在您的环境中没有访问权限的攻击者有一种非常有效的方法来破坏您的 AD 帐户：只需猜测他们的明文密码。您可能想知道您的组织对于此类攻击有多脆弱。

要找出答案，您可以使用 DSInternals 命令Test-PasswordQuality。 它将提取所有用户帐户的密码哈希值，并将它们与弱密码字典的密码哈希值进行比较。

您可以发出以下命令来运行分析。它可以远程运行，并将使用类似于 DCSync Mimikatz 攻击的 DC 复制来提取密码哈希值。

输出报告的顶部是使用可逆加密存储的帐户列表，这是我们在上一篇文章中介绍的主题。

然后报告列出了在字典中找到密码的所有帐户：

Netwrix 如何帮助您防御弱密码

虽然 Microsoft 密码策略使您能够设置一些限制，但不足以阻止您的用户选择对手可以轻松猜到的密码。 Netwrix 提供 Active Directory 安全解决方案，使您能够要求强密码。更好的是，它使您能够端到端地保护您的 Active Directory。你可以：

• 识别并缓解 Active Directory 中的漏洞，不仅包括弱密码，还包括过多的权限、影子管理员、过时的帐户等。
• 实施强密码策略并控制 AD 配置和权限以防止凭据被盗。
• 甚至可以检测高级威胁，在不良行为者完成任务之前阻止他们。
• 通过自动响应操作立即遏制安全漏洞，最大限度地减少对您业务的损害。
• 以最短的停机时间回滚或从恶意或其他不当更改中恢复。