2018年12月3日星期一

WINDOWS SERVER 2008-2016 脱域快照

Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。第二个加密步骤是为了执行密码转储以进行审计,需要两个文件的副本。
执行密码安全审核所需的主要步骤是获取包含信息的文件,从文件中转储密码哈希值,然后使用密码破解程序测试弱密码的这些哈希值。通过获取Ntds.dit和SYSTEM文件的副本,最可靠的执行密码审计的方法是脱机的。由于Windows阻止这些操作阻止标准读取或复制,因此必须使用特殊技术来获取副本。

NtdsAudit.exe下载地址
NtdsAudit需要ntds.dit Active Directory数据库,SYSTEM 如果转储密码哈希,则需要注册表配置单元。这些文件由域控制器锁定,因此无法简单地复制和粘贴。从域控制器获取这些文件的推荐方法是使用内置ntdsutil实用程序。
  • 以管理员身份打开命令提示符(cmd.exe)。要以管理员身份打开命令提示符,请单击“启动”。在“开始搜索”中,键入命令提示符。在“开始”菜单的顶部,右键单击“命令提示符”,然后单击“以管理员身份运行”。如果出现“用户帐户控制”对话框,请输入相应的凭据(如果已请求)并确认其显示的操作是您所需的操作,然后单击“继续”。
  • 在命令提示符下,键入以下命令,然后按ENTER键:
  • ntdsutil
  • 在ntdsutil提示符下,键入以下命令,然后按Enter:
  • activate instance ntds
  • 在ntdsutil提示符下,键入以下命令,然后按Enter:
  • ifm
  • 在ifm提示符下,键入以下命令,然后按Enter:
  • create full <Drive>:\<Folder>
  • <Drive>:\<Folder> 是要创建的文件的文件夹路径。
  • 例如,以下命令将显示统计信息,输出pwdump.txt包含密码哈希值的文件,并输出users.csv包含每个用户帐户详细信息的文件。
  • ntdsaudit ntds.dit -s SYSTEM -p pwdump.txt -u users.csv

没有评论:

发表评论

学习资源

https://start.me/p/PwlKgn/apt