Passworthashes aus BackUp von Active Directory auslesen

18/01/2010 - 17:18 von Hans | Report spam
Hallo zusammen,

Vorab: Umgebung ist eine 2003 AD-Domàne (2003 R2 Standard Server) mit
WinXP-Clients.

Folgendes Problem: Der Chef konnte sich am Samsatg mit seinem Passwort nicht
mehr am System anmelden. Um dem Grund (Vergesslichkeit, Systemfehler,
Angriff) nàher zu kommen, möchte ich wie folgt vorgehen: Ich möchte den
Passworthash des Passworts, welches nicht mehr ging, aus dem AD auslesen und
dann versuchen es per Bruteforce zu knacken. Das grundsàtzliche Vorgehen des
Auslesens der Hashes aus dem AD und anschließendes Brute Forcing ist mir
bekannt und auch nicht das Problem. Das Problem ist, dass das alte Passwort
nicht mehr im AD steht, da ich dem Chef ein neues geben musste. Allerdings
habe ich ein Back-Up des AD von dem Tag, an dem das alte Passwort noch
existierte. Wie kann ich aber nun aus dem Back-Up des ADs die Passworthashes
auslesen, ohne das AD wiederherzustellen? Jemand eine Idee?

Vielen Dank schonmal im Voraus!
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
19/01/2010 - 08:23 | Warnen spam
Howdie!

Hans wrote:
Folgendes Problem: Der Chef konnte sich am Samsatg mit seinem Passwort nicht
mehr am System anmelden. Um dem Grund (Vergesslichkeit, Systemfehler,
Angriff) nàher zu kommen, möchte ich wie folgt vorgehen: Ich möchte den
Passworthash des Passworts, welches nicht mehr ging, aus dem AD auslesen und
dann versuchen es per Bruteforce zu knacken. Das grundsàtzliche Vorgehen des



Ich frage mich grade, wie dir ein "erraten" des Passworts bei der Suche
des Grundes (Vergesslichkeit, Systemfehler, Angriff) helfen sollte? Wenn
du "Systemfehler" und "Angriff" ausschliessen willst, sieh dir die
Sicherheitslogs der Domànencontroller durch und schau nach, ob es
vermehrt Versuche der Anmeldung gab - bevor dein Chef sich anmelden
wollte. War nichts dergleichen, sieh dir das Logging und Auditing an und
passe es gegebenenfalls an, dass beim nàchsten Mal sowas vermehrt
mitgeschrieben wird. Findest du nichts, ist ein Angriff eher ausgeschlossen.

Wenn ihr keine Passwortsperrungen konfiguriert habt, sollte das "alte"
Passwort trotz Bruteforce-Attacke auf das Passwort per Anmeldeversuche
ja weiterhin gegangen sein und dein Chef hàtte sich am nàchsten Morgen
wieder per Passwort anmelden können - es gibt ohne Passwortrichtlinien
keinen Dauerlockout. Wenn du das Gefühl hast, dass sich jemand anderes
das Passwort erraten hat und nachtràglich geàndert hat, helfen dir auch
die Logs der Domànencontroller (ein vorheriges Einschalten der Events
ist Voraussetzung).

Die Systemfehler könntest du ausschliessen, wenn du den Chef einfach
fragst, was die genaue Fehlermeldung war, die er bekommen hatte. Wenn
"falsches" Passwort die Antwort war, ist das Passwort falsch. Bei "kein
Domànencontroller verfügbar" hàttest du einen technischen Fehler gehabt.
Vermutlich hàtte er sich im Offlinefall auch einfach mit seiner
gespeicherten Anmeldung am System einloggen können (vorausgesetzt das
Passwort ist korrekt).

Also: eine Fehlersuche durch Analysieren des alten Passworts ist
irgendwie eine "merkwürdige" Vorgehensweise, zudem recht "heikel". Bist
du dir sicher, dass das rechtlich keine Probleme gibt und der
Betriebsrat zustimmt, dass du alte Passworte zurückholst?

Cheers,
Florian

Ähnliche fragen