Jak znaleźć użytkowników domenowych ze starymi hasłami?


 

Stare hasła (ang. “stale passwords”), czyli hasła nie zmieniane od dawna, to coś, czemu warto się przyjrzeć w swojej sieci. O ile hasła domenowe zazwyczaj domyślnie mają wymuszone zmiany, to powszechnie praktykowane jest pozostawianie kont serwisowych w spokoju (opcja „password never expires” – a to duży błąd. Często są to konta o dużych uprawnieniach i z czasem coraz więcej osób je zna – również osoby, które opuściły firmę. Nietrudno wyobrazić sobie jakie to niesie ze sobą zagrożenie i warto co jakiś czas wymusić ich zmianę. Żeby to zrobić, należy najpierw namierzyć takowe konta.

Jak to uczynić? Polecam DSQUERY z Microsoft-owego zestawu Remote Server Administration Tools (RSAT):

RSAT dla Windows 7 | RSAT dla Windows 8

Oto polecenie znajdujące konta, których hasło nie było zmienione od 90 dni i zapisujące wynik w pliku tekstowym:

dsquery user -stalepwd 90 > stare_hasla.txt

Jeśli chcemy skupić się na jakimś konkretnym kontenerze (OU) podajmy ścieżkę LDAP:

dsquery user „dc=konta_serwisowe,dc=spece,dc=it” -stalepwd 90 > stare_hasla.txt

Możemy pójść o krok dalej i znaleźć konta, na których wyłączono zmiane hasła (password never expires):

dsquery * domainroot -filter „(&(objectClass=user) (userAccountControl>=65536))” -attr sAMAccountName userPrincipalName userAccountControl -d twoja_domena

Jeśli chcecie sprawdzić kiedy wypada następna zmiana hasła danego użytkownika domenowego, możecie użyć polecenia:

net user login_użytkownika /domain | find „Password expires”

To samo zadanie można wykonać za pomocą skryptu PowerShell – skrypt znajdziecie w artykule Piotra.

Mając wszystkie te informacje pozostaje Wam już tylko zmiana hasła. Tutaj możecie przeczytać/przypomnieć sobie jak zmienić hasło użytkownika domenowego w wierszu poleceń :)

Jeśli znacie jakieś inne ciekawe metody znajdywania kont ze starymi hasłami, zachęcam do komentowania.


Podobne Tematy: