Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。第二个加密步骤是为了执行密码转储以进行审计,需要两个文件的副本。
执行密码安全审核所需的主要步骤是获取包含信息的文件,从文件中转储密码哈希值,然后使用密码破解程序测试弱密码的这些哈希值。通过获取Ntds.dit和SYSTEM文件的副本,最可靠的执行密码审计的方法是脱机的。由于Windows阻止这些操作阻止标准读取或复制,因此必须使用特殊技术来获取副本。
NtdsAudit.exe下载地址
NtdsAudit需要
ntds.dit Active Directory数据库,SYSTEM 如果转储密码哈希,则需要注册表配置单元。这些文件由域控制器锁定,因此无法简单地复制和粘贴。从域控制器获取这些文件的推荐方法是使用内置ntdsutil实用程序。- 以管理员身份打开命令提示符(
cmd.exe)。要以管理员身份打开命令提示符,请单击“启动”。在“开始搜索”中,键入命令提示符。在“开始”菜单的顶部,右键单击“命令提示符”,然后单击“以管理员身份运行”。如果出现“用户帐户控制”对话框,请输入相应的凭据(如果已请求)并确认其显示的操作是您所需的操作,然后单击“继续”。 - 在命令提示符下,键入以下命令,然后按ENTER键:
- ntdsutil
- 在ntdsutil提示符下,键入以下命令,然后按Enter:
- activate instance ntds
- 在ntdsutil提示符下,键入以下命令,然后按Enter:
- ifm
- 在ifm提示符下,键入以下命令,然后按Enter:
- create full <Drive>:\<Folder>
<Drive>:\<Folder>是要创建的文件的文件夹路径。- 例如,以下命令将显示统计信息,输出
pwdump.txt包含密码哈希值的文件,并输出users.csv包含每个用户帐户详细信息的文件。 - ntdsaudit ntds.dit -s SYSTEM -p pwdump.txt -u users.csv
没有评论:
发表评论