Статья Автоматизация - скрипт проверки надежности паролей пользователей домена

Как и обещал, выкладываю скрипт проверяющий на надежность парольную политику с отправкой уведомления провинившемуся в маскированном виде и общий свод по всем безопаснику.

Данный процесс в действительности наглядно меняет понятие пользователей о парольной защите, ведь ВНД никто не читает и читать не собирается, а пароль типа Aa123456 по мнению угрюмых пользователей и GPO от MS - полностью соответствует 3-м из 4-х критериев сложности пароля.

В последствии, несложным действием, в случае несоблюдения данного процесса при повторной проверке - можно выключать в домене данного пользователя в этом же скрипте.

Реализация централизованная, допустим в шедуллере на RODC или самом DC.

! Нужны права админа домена или дилегированные права на чтение хешей паролей в Active Directory.

Как это работает:
  1. Необходима внешняя библиотека DSInternals которую можно или установить сразу средствами Powershell Install-Module -Name DSInternals -Force
  2. Скрипт вытаскивает все хеши всех пользователей домена и складывает в указанную папку
  3. Необходим словарик "плохих паролей", можно сгенерировать такой echo -e {A..Z}{a..z}111111\\n | tr -d " " | head -n -1 >> Az_0-9_x6.txt или echo -e {A..Z}{a..z}{01..31}{01..12}{1941..2020}\\n | tr -d " " | head -n -1 >> Az_dates_1941_2020.txt , можно скачать с гитхаба, ну и на хуйдой конец совместите их в один текстовик weak_passwords.txt и для начала будет неплохо.
  4. Конвертирует Ваш словарик "плохих паролей" в хеши и осуществляет проверки таковых хешей с доменными, ну а дальше красивости с отправкой по почте и маскированием...
30278


Сам powershell скрипт:
Код:
############################################
#                   Made by                 #
#              ®SECuriXy team               #
# Collect All AD Users & Check Hash to PSwd#
############################################
# Проверка наличия модуля, если нет то импортируем
if (-not (Get-Module DSInternals)) {
      Import-Module ".\lib\DSInternals.psd1"
}
if (-not (Get-Module ActiveDirectory)) {
      Import-Module ActiveDirectory
}
#Переменные
$datA=Get-Date -Format "dd.MM.yyyy(HH:mm)" | foreach {$_ -replace ":", "."}
$DC = "DC"
$Domain = "DC=yourcompany,DC=kz"
$Pth = "C:\Scripts\"
$Pfile = 'C:\Scripts\LOGS\AD_PSSW_'+"$data"+'.csv'
$DictFile = "C:\Scripts\weak_passwords.txt"
$OUsss='*DC=yourcompany,DC=kz'
$MailServer = "mailserver.yourcompany.kz"
$FromAddress = "Аудит паролей <weak-passwords@yourcompany.kz>"
$strBlankPasswordNThash = '31d6cfe0d16ae931b73c59d7e0c089c0'
$htBadPasswords = @{}
$htBadPasswords.Add($strBlankPasswordNThash,"")
#Значение количества юзеров предварительно обнулим
$intBadPasswordsFound = 0
#Тут все колдовство и шаманство по изъятию с домена хэшей
    Function Get-NTHashFromClearText
    {
        Param ([string]$ClearTextPassword)
        Return ConvertTo-NTHash $(ConvertTo-SecureString $ClearTextPassword -AsPlainText -Force)
    }
Foreach ($WordlistPath in $DictFile)
    {
        If (Test-Path $WordlistPath)
        {
            If ($bolWriteToLogFile) {LogWrite -Logfile $LogFileName -LogEntryString "Word list file found: $WordlistPath" -LogEntryType INFO -TimeStamp}
            Write-Verbose "Word list file found: $WordlistPath"
            $BadPasswordList = Get-Content -Path $WordlistPath
            $cnt_LineNumber = 1
            Foreach ($BadPassword in $BadPasswordList)
            {
                #Detect and ignore emty strings
               If ($BadPassword -eq '')
               {
                   #If ($bolWriteToLogFile) {LogWrite -Logfile $LogFileName -LogEntryString "| Empty input line ignored (line#: $cnt_LineNumber)." -LogEntryType INFO -TimeStamp}
                   Write-Verbose "| Empty input line ignored (line#: $cnt_LineNumber)."
                   $cnt_LineNumber++
                   Continue
               }
                $NTHash = $(Get-NTHashFromClearText $BadPassword)
                If ($htBadPasswords.ContainsKey($NTHash)) # NB! Case-insensitive on purpose
                {
                    $intBadPasswordsInListsDuplicates++
                    If ($bolWriteToLogFile -and $bolWriteVerboseInfoToLogfile) {LogWrite -Logfile $LogFileName -LogEntryString "| Duplicate password: '$BadPassword' = $NTHash" -LogEntryType INFO -TimeStamp}
                    Write-Verbose "| Duplicate password: '$BadPassword' = $NTHash (line#: $cnt_LineNumber)"
                }
                Else # New password to put into hash table
                {
                    If ($bolWriteToLogFile -and $bolWriteVerboseInfoToLogfile) {LogWrite -Logfile $LogFileName -LogEntryString "| Adding to hashtable: '$BadPassword' = $NTHash" -LogEntryType INFO -TimeStamp}
                    Write-Verbose "| Adding to hashtable: '$BadPassword' = $NTHash (line#: $cnt_LineNumber)"
                    $htBadPasswords.Add($NTHash,$BadPassword)
                }
                # Counting line numbers
              $cnt_LineNumber++
            } # Foreach BadPassword
        }
    }
#Смещение верхней строки
$intBadPasswordsInLists = $htBadPasswords.Count - 1
Add-content -path $Pfile "Name,Username,NTLMPassword"

$arrUsersAndHashes = Get-ADReplAccount -All -Server $DC -NamingContext $Domain | Where {$_.Enabled -eq $true -and $_.SamAccountType -eq 'User' -and $_.DistinguishedName -like $OUsss} | Select SamAccountName,@{Name="NTHashHex";Expression={ConvertTo-Hex $_.NTHash}}
$intUsersAndHashesFromAD = $arrUsersAndHashes.Count
Foreach ($hashuser in $arrUsersAndHashes)
    {
        $strUserSamAccountName = $hashuser.SamAccountName
        $Nametable = Get-ADUser -LDAPFilter "(sAMAccountName=$strUserSamAccountName)" | Select Name
        $Name = $Nametable.name
        $strUserNTHashHex = $hashuser.NTHashHex
If ($htBadPasswords.ContainsKey($strUserNTHashHex)) # NB! Case-insensitive on purpose
        {
            $intBadPasswordsFound++
            $strUserBadPasswordClearText = $htBadPasswords.Get_Item($strUserNTHashHex)
            Add-content $Pfile "$Name,$strUserSamAccountName,$strUserBadPasswordClearText"  -Encoding UTF8
        }
    }
$UsersAll = Import-Csv $Pfile -Encoding UTF8
#Список исключения
$Users = Import-Csv $Pfile -Encoding UTF8 | where-object { $_.Username -NotMatch 'УверенныйАдмин|testuser|СУПЕРБОСС' }
#Мылинг
function SendNotification {
$Msg = New-Object Net.Mail.MailMessage
$Smtp = New-Object Net.Mail.SmtpClient($MailServer)
$Msg.From = $FromAddress
$Msg.To.Add($ToAddress)
$Msg.Subject = "Внимание! $datA Обнаружен слабый пароль!"
$Msg.Body = $EmailBody
$Msg.IsBodyHTML = $true
$Msg.Priority = [System.Net.Mail.MailPriority]::High
$Smtp.Send($Msg)
}
$TOsoc='soc@yourcompany.kz'
$head = "Внимание! $datA Обнаружены слабые пароли на $intBadPasswordsFound из $intUsersAndHashesFromAD :"
$emailBodyTXT = $UsersAll | Sort NTLMPassword,Username | ConvertTo-Html -Head $head | Format-Table -Autosize | Out-String
Send-MailMessage -smtpServer $MailServer -from $FromAddress -to $TOsoc -subject "Внимание! $datA Обнаружены слабые пароли!" -body $emailBodyTXT -BodyAsHTML -Encoding UTF8
Foreach ($User in $Users){
$FIO = $User.name
$ToAddress = "$FIO <" + $User.Username + '@yourcompany.kz>'
#$How = $User.NTLMState
$Pass = $User.NTLMPassword
$Pwd = $Pass.Substring(0,$Pass.Length-4)
$login = $User.Username
$Name = Get-ADUser -LDAPFilter "(sAMAccountName=$login)" | Select Name
$Who = $Name -replace "@{Name=" -replace "}"
$EmailBody = @"
#Красивости
<html>
  <style>
h1{ine-height:70%;}
h5{line-height:1px;}
#nol {font-size:11px;line-height:17px;padding:10px;border:5px solid #456;}
</style>
<head>
</head>
<body>
<div id="nol">

<h2 style="color:green"><img style="width:50px;height:45px" class=Gimage src=></img>  Добрый день <strong>$Who,</strong></h2>
<b>
<h4>Согласно ВНД "Положение об организации системы управления информационной безопасностью в АО «yourcompany»" ПО – 4568-9870 от 12.04.2019 г.  Приложение 1 \ Глава 2. Парольная защита \ § 1. Правила формирования пароля</h4>
<h4>!В результе проведённого поверхностного аудита паролей сотрудников компании, Ваш пароль не прошел проверку на сложность и не может гарантировать безопасность данных.</h4>
<h3 style="color:grey">Ваш пароль: <strong style="color:red">$Pwd***** </strong></h3>
<p></p>
<h4>Необходимо сменить на более сложный пароль.</h4>
<h4>Подобные проверки будут проводиться регулярно для большей уверенности в сохранности данных.</h4>
<h4>Если необходима консультация касательно сложности пароля, Вы можете обратиться к системному администратору. <br>
<p><a href="https://password.kaspersky.com/ru/">Либо воспользоваться сервисом</a></p></h4>
<h4><strong>Сменить пароль сейчас можно нажав сочитание клавиш ctrl+alt+del / Изменить пароль.</strong></h4>
  <h4><strong>В случае игнорирования, Ваша учетная запись будет заблокирована.</strong></h4>
<h3><strong>!!! После прочтения это письмо следует удалить !!!</strong></h3>
<h3 style="color:red">Данное письмо сформировано автоматически и отвечать на него не нужно.</h3>
</div>

<p>С Уважением,</p>
  <p>Вумный админ yourcompany</p>
</body>
</html>
"@
#Раскоментить строку ниже для отображения процесса отправки
#Write-Host "Sending notification to $Who $Pass ($ToAddress)" -ForegroundColor Yellow
Send-MailMessage -smtpServer $MailServer -from $FromAddress -to $ToAddress -subject "Внимание! $datA Обнаружен слабый пароль!" -body $emailBody -BodyAsHTML -Encoding UTF8
Start-Sleep -Seconds 60
}
Пример отчета:

30293


30294


Для любителей софта и тем кому лениво, есть софт , так же недоскрипт от разработчика
Каждый склонен делать то, чего желает сам и что позволяет его время и занятость... Так что дорогие админы и безопасники - Пальцы Вверх!
Да и еще если вывод дополнить еще одним циклом, то можно по сути своей заменить им PWDump
Код:
Foreach ($admhash in $arrADMHashes)
    {
        $strUserSamAccountName = $admhash.SamAccountName
        $Nametable = Get-ADUser -LDAPFilter "(sAMAccountName=$strUserSamAccountName)" | Select Name
        $SIDtable = Get-ADUser -LDAPFilter "(sAMAccountName=$strUserSamAccountName)" | Select SID
        $Name = $Nametable.name
        #$SidTable.SID.Value
        $SID = (($SIDtable.SID.Value).Replace((Get-ADDomain).DomainSID.Value,"")).Replace("-","")
        $strUserNTHashHex = $admhash.NTHashHex
        $adminhashes = "yourcompany.kz\" + $strUserSamAccountName + ":" + $SID + $strUserNTHashHex + ":::"
        Add-content $AFILE $adminhashes  -Encoding UTF8
    }
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!