Аудит паролей Windows AD

Опубликовано 22.09.2023 автором zeleneew

Основной источник здесь.

Последняя версия модуля DSInternals PowerShell содержит новый командлет Test-PasswordQuality, который представляет собой мощный, но простой в использовании инструмент для аудита паролей Active Directory. Он может обнаруживать слабые, повторяющиеся, стандартные, бессрочные или пустые пароли, а также находить учетные записи, которые нарушают лучшие практики безопасности. Все администраторы домена теперь могут регулярно проверять пароли Active Directory без каких-либо специальных знаний.

Установка

Варианты установки описаны здесь.

Offline установка модуля (PowerShell 3+)

  1. Скачайте доступную версию с GitHub.
  2. Извлеките каталог DSInternals в каталог модулей PowerShell, например. C:\Windows\system32\WindowsPowerShell\v1.0\Modules\DSInternals или C:\Users\John\Documents\WindowsPowerShell\Modules\DSInternals.
  3. (Optional) Eсли вы скопировали модуль в каталог, отличный от рекомендованного на предыдущем шаге, вам придется импортировать его вручную с помощью командлета Import-Module.

Использование

    Командлет Test-PasswordQuality принимает выходные данные командлетов Get-ADDBAccount и Get-ADReplAccount, поэтому анализ можно проводить как в автономном режиме (ntds.dit), так и в оперативном режиме (DCSync):

    Get-ADReplAccount -All -Server LON-DC1 -NamingContext "dc=adatum,dc=com" |
   Test-PasswordQuality -WeakPasswordHashes .\pwned-passwords-ntlm-ordered-by-count.txt -IncludeDisabledAccounts

    Много информации по использованию можно прочитать здесь.

    Пример

    # импортируем модуль 
Import-Module DSInternals
# если требуется отобразить пароли, то необходимо импортировать модуль версии 2.23
# Import-Module DSInternals  -RequiredVersion 2.23
# 
$DC = "dc.zeleneew.ru"
$Domain = "DC=dc,DC=zeleneew,dc=ru"
# указываем путь к словарю, по которому будем подбирать пароли
$Dict = "C:\DSInternals\PasswordDict.txt"
# "хэшируем" словарь
$DictHash = Get-Content $Dict | ConvertTo-NTHashDic

Get-ADReplAccount -All -Server $DC -NamingContext $Domain | Test-PasswordQuality -WeakPasswordHashes $DictHash -ShowPlainTextPasswords -IncludeDisabledAccounts
    Рубрика: Без рубрики | Оставить комментарий

    Установка MS SQL в отказоустойчивый кластер

    Опубликовано 17.08.2023 автором zeleneew

    При при установке на пассивной ноде MS SQL может возникнуть ошибка возможности выбора учетной записи, от которой должна запускать служба SQL Server Agent. Поле для выбора логина является не активным, при этом на активной ноде данная роль установлена.

    Для исправления проблемы обнаружения необходимо на активной ноде выполнить команду в PowerShell:

    Add-ClusterResourceType -Name "SQL Server Agent" -Dll "sqagtres.dll"

    После чего в диспетчере отказоустойчивой кластеризации в роль SQL Кластера добавить SQL Server Agent и перезапустить установку на пассивной ноде.

    Выполнение данной будет необходимо повторить на каждой вновь устанавливаемой ноде для роли SQL кластера после установки MS SQL.

    После установки, если планируется использование включенного Windows брандмауера необходимо создать правила для подключения к SQL:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    Рубрика: Windows Server, Базы данных | Оставить комментарий