Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > SAPHA ad scanner
říjen 22
SAPHA ad scanner
by  Ondřej Ševeček  on 22.10.2020 10:55

Kdo má zájem vyzkoušet můj SAPHA (Sevecek AD and password hash analysis) AD scanner, který jsem prezentoval na WUG Days 2020, zde je několik poznámek:

  1. stáhněte si celý balík SAPHA AD scanneru zde. Nebo na mém OneDrive zde.
  2. jsou uvnitř i zdrojové kódy v adresáři SRC-CAN-REMOVE, které nepotřebujete k provozu samotnému a můžete je tedy vymazat, pokud vás to nezajímá
  3. všechno co jde, je digitálně podepsáno mým podpisovým certifikátem, který je součástí balení v adresáři Certificates
  4. kdyby tomu někdo nevěřil, tak thumbprint podpisového certifikátu je 0754e7dfdac37f067d5f8e5f24239505fbe508cc, thumbprint CAčky je b1edc75e1e4572ad493899a593c2f7cca0d5095b a ID klíče CAčky je 1a7304060d3638d36f4de171aa14657c77a0d0c9
  5. otisk SHA256 nejnovějšího .ZIP souboru je: 68-AA-BD-89-DC-A5-8B-F8-7A-5D-02-03-64-B9-BF-78-41-55-64-6F-39-C5-3D-33-16-AF-91-21-02-66-D3-49
  6. otisk SHA265 nejnovějšího .ZIP souboru se zdrojáky je: 01-4F-08-7A-40-37-15-FD-13-EB-DC-08-0F-06-DB-CD-64-F9-E7-05-4D-8F-FE-3B-5B-F2-44-76-F3-CE-CD-60
  7. dále je tam seznam SHA256 heší všech souborů v souboru signed-catalogue.csv, který je sám také podepsaný
  8. ideálně přímo na nějakém DC, které má online konektivitu na ostatní DC a další TIER0 servery, spustíte celý AD scan včetně PWD scanu:
saphaADscanner.bat
mon -all
  1. všechny nálezy najdete v CSV souboru OUTPUT\OUT-PWDS-...\pwds-...issues....csv

 

  1. pokud nemáte online konektivitu na ostatní DCčka, tak to můžete spustit postupně na každém zvlášť. Ideálně na každém z nich vytvoříte jen DC scan:
saphaADscanner.bat
mon -dcOnly
  1. jednotlivé DC scany je nejlepší dělat postupně, vždy na jednom DC a potom to celé, včetně OUTPUT adresářů, překopírovat na další DC a znovu spustit další DC scan. Už se totiž nebude muset dělat znovu SYSVOL scan ani FOREST scan.
  2. pokud to někde selže, možná přes síť, nebo lokálně, poznáte to jednoduše podle toho, že odpovídající OUTPUT adresář bude mít jméno obsahující error.interrupted. A stačí to prostě na tom počítači spustit znovu, pokud se jednalo o problém přístupu přes síť.
  3. až máte kompletní výstup adresářů OUTPUT-DC tak můžete končeně spustit zbytek, tak jako na začátku:
saphaADscanner.bat
mon -all
  1. pokud adresáře existují, tak se to znovu neskenuje. Kdybyste chtěli vyvolat nové skenování, tak buď smažete odpovídající OUTPUT adresáře, nebo použijete parametr:
saphaADscanner.bat
mon -all -rescanAll

 

Prozatím jsem nepublikoval verzi se skenováním lokálních hesel serverů a DSRM admin hesel, protože je tam jedna muška, vydám snad během zbytku týdne. V adresáři budou vždycky všechny vydané verze, takže si prostě stáhnete tu nejnovější.

Jakékoliv vady hlaste, fíčr requesty požadujte a užívejte!

Permanent Link to Post | Email Post Link | Number of Comments 6 Comment(s)

Comments

Server Admin Scan

ahoj Ondro, mám dotaz, někde v některých situacích jsem já, nebo kolegové pouze místní správci serverů. nechci nebo nemohu mít/přidělit práva jako enterprise admin.

lze ten scan přizpůsobit této situaci? chci třeba aby scan dělal kolega a pak mi jen poslal report s věcmi kde se zaměřím na věci které on nezná nebo na ně nemá práva ...

díky
Michal
Michal Zobec on 24.10.2020 14:36

Server Admin Scan

poznámka: proč to chci? protože i když mám omezená práva, tak pořád je stroj v síti a rád bych si ověřil to co se dá ověřit aspoň lokálně na daném stroji. a taky pokud by to umělo nějak ověřit kvalitu hesel oprávněných uživatelů (co mají přístup přímo na ten stroj kde skript běží). je to proto, že mám podezření, že někteří uživatelé používají triviální hesla, ale netuším jak jinak to ověřit a napadlo mne, že by mi k tomu pomohl tvůj scanner.
jasně je dobré mít enterprise admin práva, ale bohužel ne všude jsem pánem :) (to jsou kolegové z matky/centrály).
Michal Zobec on 24.10.2020 14:43

Download

Dobry den, chcem preverit kedy bude mozne SAPHA scanner stiahnut.  Aktualne to nie je mozne :(
Rooter on 2.11.2020 14:13

stažení

Dobrý den,

viděl jsem vaši přednášku o AD skeneru a našel jsem přesně to, co jsem hledal. Bylo by možné dát opět ke stažení AD skener, případně mi ho poslat do emailu. Moc děkuji

Milan
Milan Tůma on 1.2.2021 14:02

Licence

Dobrý den Ondro.

Měl bych na vás dva dotazy.
1) Nenašel jsem nikde žádnou zmínku o použité licenci. Je možné váš software využívat i komerčně při konzultacích u zákazníků?

2) Využíváte nějaké Git repository? Například github?

Díky za odpověď.
Honza on 13.5.2021 17:00

Chyba při skenování

Dobrý den,

zkoušel jsem spustit Váš sken, dal mi hodně upozornění za to jsem rád, ale v outputu jsem narazil na chybu, že nedoběhl SAS-PwdScan. Můžete mi prosím poradit, co dělám případně špatně?

Error occured during processing: SAS-PwdScan() | Exception calling ".ctor" with "4" argument(s): "schemaInfo attribute value must be specified" [ stack: at global:xSAS-LoadDrsLibrary, C:\TEMP\SAPHA\saphaLIB\saphaLIB.psm1: line 8843||at global:SAS-PwdScan, C:\TEMP\SAPHA\saphaADscanner.psm1: line 7921||at global:mon, C:\TEMP\SAPHA\saphaADscanner.psm1: line 8542||at <ScriptBlock>, <No file>: line 1 ]

Function SAS-PwdScan() finished INCOMPLETE

Spouštěno pod účtem, který je Enterprise Admins je.

Děkuji mockrát.

Honza.
Honza on 17.5.2021 9:07

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments