¿Cómo puedo evaluar la fortaleza de las contraseñas de usuario en el entorno de mi oficina?

4

Quiero asegurar el cumplimiento de la política de contraseña en mi oficina.

Introducción al entorno  Mi entorno es todo basado en Windows (servidor 2003/2008). La base de usuarios no tiene más de 400 empleados. Casi el 90% de todos los usuarios tienen Windows XP O / S instalado en sus máquinas. El otro 10% se divide entre Vista y Windows 7. La fuerza máxima para la contraseña se limita a 10 caracteres.

Declaración de problema  Quiero saber la forma más fácil, rápida y confiable de probar las contraseñas de los usuarios de Windows. He descargado y utilizado varias herramientas de auditoría de contraseñas (l0phtcrack, ophtcrack, samsinde).

Objetivos  Quiero un enfoque que me permita enumerar las cuentas de usuario al iniciar sesión en el controlador de dominio y no tener que ir a cada máquina individual y luego ejecutar el software. Esta actividad simplemente crea una carga de trabajo administrativa innecesaria. Además, necesito un software que no requiera arrancar en un sistema operativo alternativo (como en el caso de ophtcrack). Si lo hace, afectaría el rendimiento de los usuarios y también se vuelve molesto.

Quiero hacer uso de las tablas del arco iris. Las especificaciones que me fueron entregadas no son suficientes para que pueda llevar a cabo un ataque exhaustivo de fuerza bruta en el tiempo que me asigna la alta gerencia para completar la tarea.

Sin embargo, no tengo ningún problema con respecto al almacenamiento: puedo dedicar hasta 1 TB para almacenar las tablas del arco iris. Agradecería que me proporcionen el enlace adecuado y me guíen sobre las cosas que debería considerar antes de descargar archivos de gran tamaño para mi uso.

    
pregunta user1167026 06.04.2012 - 11:07
fuente

2 respuestas

4

Actualizado en referencia a tu actualización:

Para una auditoría de seguridad de contraseñas, solo desea capturar el archivo SAM del dominio y ejecutar el forzador bruto que elija. Si prefiere usar tablas de arco iris, simplemente puede ejecutar los hashes a través de su herramienta de tabla de arco iris.

Para la mayoría de los proveedores de tablas de arco iris, la idea es que proporcione una parte de la tabla de arco iris a cambio de una descarga de la tienda más grande. Una búsqueda en Google te encontrará algunas opciones aquí.

Un terabyte es probablemente un comienzo razonable, sin embargo, tiene sentido descargar una gama de tablas arcoiris relevantes para su entorno, por lo que es posible que desee reservar unos pocos terabytes. En estos días, es tan barato que tiene sentido sobreescribir las especificaciones. espacio de almacenamiento.

    
respondido por el Rory Alsop 06.04.2012 - 16:03
fuente
2

La forma más fácil, rápida y confiable de probar las contraseñas de los usuarios es establecer requisitos mínimos de contraseña y forzar un restablecimiento de la contraseña en todo el dominio. Después de que todos hayan restablecido sus contraseñas, sabrá que todos cumplen con sus requisitos mínimos.

    
respondido por el Mark Burnett 10.04.2012 - 10:23
fuente

Lea otras preguntas en las etiquetas