| Kdo má zájem vyzkoušet můj SAPHA (Sevecek AD and password hash analysis) AD scanner, který jsem prezentoval na WUG Days 2020, zde je několik poznámek:
- stáhněte si celý balík SAPHA AD scanneru zde. Nebo na mém OneDrive zde.
- jsou uvnitř i zdrojové kódy v adresáři SRC-CAN-REMOVE, které nepotřebujete k provozu samotnému a můžete je tedy vymazat, pokud vás to nezajímá
- všechno co jde, je digitálně podepsáno mým podpisovým certifikátem, který je součástí balení v adresáři Certificates
- kdyby tomu někdo nevěřil, tak thumbprint podpisového certifikátu je 0754e7dfdac37f067d5f8e5f24239505fbe508cc, thumbprint CAčky je b1edc75e1e4572ad493899a593c2f7cca0d5095b a ID klíče CAčky je 1a7304060d3638d36f4de171aa14657c77a0d0c9
- otisk SHA256 nejnovějšího .ZIP souboru je: 68-AA-BD-89-DC-A5-8B-F8-7A-5D-02-03-64-B9-BF-78-41-55-64-6F-39-C5-3D-33-16-AF-91-21-02-66-D3-49
- otisk SHA265 nejnovějšího .ZIP souboru se zdrojáky je: 01-4F-08-7A-40-37-15-FD-13-EB-DC-08-0F-06-DB-CD-64-F9-E7-05-4D-8F-FE-3B-5B-F2-44-76-F3-CE-CD-60
- dále je tam seznam SHA256 heší všech souborů v souboru signed-catalogue.csv, který je sám také podepsaný
- ideálně přímo na nějakém DC, které má online konektivitu na ostatní DC a další TIER0 servery, spustíte celý AD scan včetně PWD scanu:
saphaADscanner.bat
mon -all
- všechny nálezy najdete v CSV souboru OUTPUT\OUT-PWDS-...\pwds-...issues....csv
- pokud nemáte online konektivitu na ostatní DCčka, tak to můžete spustit postupně na každém zvlášť. Ideálně na každém z nich vytvoříte jen DC scan:
saphaADscanner.bat
mon -dcOnly
- jednotlivé DC scany je nejlepší dělat postupně, vždy na jednom DC a potom to celé, včetně OUTPUT adresářů, překopírovat na další DC a znovu spustit další DC scan. Už se totiž nebude muset dělat znovu SYSVOL scan ani FOREST scan.
- pokud to někde selže, možná přes síť, nebo lokálně, poznáte to jednoduše podle toho, že odpovídající OUTPUT adresář bude mít jméno obsahující error.interrupted. A stačí to prostě na tom počítači spustit znovu, pokud se jednalo o problém přístupu přes síť.
- až máte kompletní výstup adresářů OUTPUT-DC tak můžete končeně spustit zbytek, tak jako na začátku:
saphaADscanner.bat
mon -all
- pokud adresáře existují, tak se to znovu neskenuje. Kdybyste chtěli vyvolat nové skenování, tak buď smažete odpovídající OUTPUT adresáře, nebo použijete parametr:
saphaADscanner.bat
mon -all -rescanAll
Prozatím jsem nepublikoval verzi se skenováním lokálních hesel serverů a DSRM admin hesel, protože je tam jedna muška, vydám snad během zbytku týdne. V adresáři budou vždycky všechny vydané verze, takže si prostě stáhnete tu nejnovější.
Jakékoliv vady hlaste, fíčr requesty požadujte a užívejte! |