Jak znaleźć użytkowników domenowych ze starymi hasłami?

Stare hasła (ang. “stale passwords”), czyli hasła nie zmieniane od dawna, to coś, czemu warto się przyjrzeć w swojej sieci. O ile hasła domenowe zazwyczaj domyślnie mają wymuszone zmiany, to powszechnie praktykowane jest pozostawianie kont serwisowych w spokoju (opcja „password never expires” – a to duży błąd. Często są to konta o dużych uprawnieniach i z czasem coraz więcej osób je zna – również osoby, które opuściły firmę. Nietrudno wyobrazić sobie jakie to niesie ze sobą zagrożenie i warto co jakiś czas wymusić ich zmianę. Żeby to zrobić, należy najpierw namierzyć takowe konta.

Jak to uczynić? Polecam DSQUERY z Microsoft-owego zestawu Remote Server Administration Tools (RSAT):

RSAT dla Windows 7 | RSAT dla Windows 8

Oto polecenie znajdujące konta, których hasło nie było zmienione od 90 dni i zapisujące wynik w pliku tekstowym:

dsquery user -stalepwd 90 > stare_hasla.txt

Jeśli chcemy skupić się na jakimś konkretnym kontenerze (OU) podajmy ścieżkę LDAP:

dsquery user „dc=konta_serwisowe,dc=spece,dc=it” -stalepwd 90 > stare_hasla.txt

Możemy pójść o krok dalej i znaleźć konta, na których wyłączono zmiane hasła (password never expires):

dsquery * domainroot -filter „(&(objectClass=user) (userAccountControl>=65536))” -attr sAMAccountName userPrincipalName userAccountControl -d twoja_domena

Jeśli chcecie sprawdzić kiedy wypada następna zmiana hasła danego użytkownika domenowego, możecie użyć polecenia:

net user login_użytkownika /domain | find „Password expires”

To samo zadanie można wykonać za pomocą skryptu PowerShell – skrypt znajdziecie w artykule Piotra.

Mając wszystkie te informacje pozostaje Wam już tylko zmiana hasła. Tutaj możecie przeczytać/przypomnieć sobie jak zmienić hasło użytkownika domenowego w wierszu poleceń 🙂

Jeśli znacie jakieś inne ciekawe metody znajdywania kont ze starymi hasłami, zachęcam do komentowania.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

Dodaj komentarz