Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

John the Ripper - A fast password cracker

hashcat - advanced password recovery tool

<p>驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。</p>


<p>Active Directory 帳戶密碼可能會引發多種問題，進而導致降低 Active Directory 安全性。</p>


憑證存取

權限提升

原始存取

暴力密碼破解

有效帳戶

密碼弱點偵測

若帳戶密碼出現於公開可用的外洩密碼資料庫，其不必然代表帳戶遭到入侵。不過，這會大幅增加帳戶容易遭到密碼猜測或離線破解攻擊的風險。此類密碼一旦遭到暴露，就不再適合使用，這是因為潛在攻擊者會利用這些密碼取得其他帳戶的未授權存取權。


使用已外洩的密碼

某些帳戶的 LM (Lan Manager) 雜湊具有非空白值。請務必謹記，LM 雜湊演算法與 NT 雜湊演算法相比相對較弱，容易遭受快速暴力密碼破解攻擊。因此為了強化安全性，建議您避免儲存 LM 雜湊並改為優先儲存 NT 雜湊。


具有 LM 雜湊的使用者帳戶

某些使用者帳戶具有空白密碼 (NT 雜湊)。在特定情境下，這些帳戶可能會具有空白密碼，由於攻擊者可以在不提供任何密碼的情況下進行驗證，因此這會產生安全性風險。
根據下列情況，帳戶可具有空白密碼：
  * 網域密碼原則將屬性 minPasswordLength 的值設定為 0 ，屬性 complexityEnabled 的值設定為 False。
  * 將有 PASSWD_NOTREQD 標記的 userAccountControl 屬性設為 True。


具有空白密碼的使用者帳戶 (NT 雜湊)

某些網域控制器具有空白密碼，可能會導致攻擊者刺探利用 Zerologon 弱點。
此弱點包括潛在的刺探利用情境，攻擊者可在其中變更網域控制器密碼，順利針對網域執行完整入侵。


具有空白密碼的網域控制器

針對全體多個使用者帳戶採用相同的密碼，會產生極高的安全性風險。若攻擊者順利入侵其中一個帳戶，即可透過密碼噴濺攻擊刺探利用此弱點，進而針對其他帳戶取得未授權的存取權。


在網域內重複使用密碼

至少有一個特權帳戶與其他帳戶共用密碼。這可能會成為權限提升攻擊的直接媒介，攻擊者會藉此來入侵低特權帳戶。
這也可能表示分層帳戶的設定不正確，原因是在各層級之間重複使用相同的密碼，或使用脆弱密碼。


特權帳戶在網域內重複使用密碼

某些帳戶具有出現於已設定密碼清單中，或是與 sAMAccountName 或 displayName 等帳戶屬性相同的脆弱密碼。因此，這些密碼非常容易遭到快速暴力密碼破解攻擊。


偵測

密碼弱點偵測

high

說明

解決方案

另請參閱

指標詳細資料

攻擊者已知工具