Subtilisation du mot de passe Admin

Subtilisation du mot de passe Admin - Win NT/2K/XP - Windows & Software

Marsh Posté le 28-09-2005 à 09:44:14    

J'ai une collègue qui gère un parc informatique d'une 40aine de postes sous xp et 98 : elle en est l'administratrice.
 
Sur les postes xp pro, elle a crée systématiquement 2 utilisateurs :
 
- Un compte admin avec mot de passe secret pour pouvoir installer des softs ou faire des modifs.
- Un compte utilisateur restreint pour l'utilisateur de la machine.
 
Ces derniers temps elle a remarqué qu'un utilisateur malin arrivé à changer le statut de l'utilisateur restreint en administrateur afin d'avoir tous les droits sur la machine.
 
Elle a beau modifié le mot de passe du compte admin sur les machines, cet utilisateur arrive finalement à modifier son status qd même.
 
Ma question est la suivante : comment peut-il faire pour récupérer ce mot de passe administrateur ?
 
A ma connaissance, les mots de passes sont cryptés et ne sont pas récupérables par le premier venu.
 
Je connais bien un moyen permettant de remettre à zéro les mots de passe des comptes via une disquette de boot linux mais là le mot de passe n'est pas effacé.
 
Qui connait l'astuce ? Comment faire pour l'en empêcher ?
 
Merci

Reply

Marsh Posté le 28-09-2005 à 09:44:14   

Reply

Marsh Posté le 28-09-2005 à 10:43:24    

salut
 
pour en savoir plus faudrait mettre un keylogger sur la machine
 
@+
 
toufik
 
-- partir c'est mourrir un peu, mais mourrir c'est partir beaucoup

Reply

Marsh Posté le 28-09-2005 à 11:16:42    

ok c une piste à essayer, vérifier les processus et scanner avec un anti spyware.
 
Mais y a-t-il une manip particulière ou un logiciel qui révèlerait ou contournerait directement le mot de passe stocké dans la machine sans attendre que l'admin le tape pour le révéler au keylogger ?

Reply

Marsh Posté le 28-09-2005 à 13:52:04    

Citation :

Mais y a-t-il une manip particulière ou un logiciel qui révèlerait ou contournerait directement le mot de passe stocké dans la machine sans attendre que l'admin le tape pour le révéler au keylogger ?


 
dificile si les machines sont a jour
s'il y a des failles de secu pourquoi pas
 
y'avais l0pht crack a une epoque
 

Reply

Marsh Posté le 28-09-2005 à 14:03:53    

Disons que sous 98 la notion de sécurité des mots de passe est inexistante. Pour XP, il existe pas mal d'outil pour récupérer les mots de passes (cd linux, etc).

Reply

Marsh Posté le 28-09-2005 à 14:23:00    

C'est justement sous xp que j'aimerais mieux connaitre les différentes techniques pr récupérer le mot de passe local d'un compte admin afin de mieux m'en protéger à l'avenir.
 
Perso je ne connais que le cd de boot linux qui permet d'effacer les mots de passe des comptes utilisateurs quelqu'ils soient.
 
En connaissez vous d'autres ? je re-précise que le mot de passe admin n'est pas effacé mais simplement découvert car l'utilisateur arrive à modifier certaines options accessibles normalement qu'à l'admin via son mot de passe.

Reply

Marsh Posté le 28-09-2005 à 14:26:46    

Il faut vérifier si son compte user ne fait pas parti du groupe Admin.

Reply

Marsh Posté le 28-09-2005 à 14:39:38    

il ne faut pas oublier que beaucoup de "failles de securité"
sont humaines et du a des incompetances notoires
(mot de passe = nom du chien, des enfants, etc...)
 
@+
 
Toufik

Reply

Marsh Posté le 28-09-2005 à 15:24:06    

Pour l'erreur humaine, je ne pense pas car c un mot de passe admin unique sur toutes les machines, de plus il n'est pas sépcialement banal ni facile à trouver.
 
jolebarjo => les users ne font pas pastis du groupe admin

Reply

Marsh Posté le 28-09-2005 à 15:40:26    

SamInside, l0phtCrack... il en existe quelques uns. La plupart fonctionnent avec la méthode BruteForcing, donc si elle complexifie un peu ses mdp (10 caractères et +, chiffres et caractères spéciaux) ça peut prendre des heures et des heures de décryptage au petit malin.
À essayer, où sinon le coup du keylogger sur une machine qu'il devra utiliser c'est pas mal non plus.
à part ça tu dis qu'il y a un mot de passe admin local unique sur chaque machine, juste ? Donc soit elle suit une certaine logique lorsqu'elle les rentre et le mec l'a comprise, soit elle a une liste stockée quelque part et le type l'a trouvée...
 
Voilà !

Reply

Marsh Posté le 28-09-2005 à 15:40:26   

Reply

Marsh Posté le 28-09-2005 à 16:02:58    

OK donc je vais lui dire de complexifier ses mots de passe pr éviter le bruteforcing, par contre est-ce que les anti spywares actuels détectent les keylogger ?
 
Car leur fonction étant d'espionner j'imagine qu'ils sont discrets mais ils doivent tout de même apparaitre dans les processus non ??

Reply

Marsh Posté le 28-09-2005 à 16:09:38    

Identifier (par le lancement d'un fichier batch, qui irait écrire des infos comme la date et l'heure dans un .txt) la ou les machines ou s'ouvre un compte admin.
 
Si par recoupement vous n'attrapez pas le coupable et de toutes façons :
 
Vérifier que le boot sur disquette passe après celui sur HDD
Mettre un mot de passe au BIOS
Vérifier présence keylogger
Changer le MDP admin pour un nouveau avec chiffres+lettres en majuscules et miniscules (plus autres caractères accepté pourquoi pas)
Empecher l'accès à la partition système pour les postes sous XP/2k
 
Vous êtes sous domaine ?
C'est une école ?

Reply

Marsh Posté le 28-09-2005 à 16:11:47    

Pour cracker un mdp sur un poste sous 2k/XP, il faut déjà récupérer le HASH du mdp dans la base SAM. Sous un compte utilisateur, sans accès au fichier en lui même, ce n'est pas possible.

Reply

Marsh Posté le 28-09-2005 à 16:19:06    

C'est une bibliothèque et les postes font parti d'un domaine.
 
J'avais idée de bloquer l'accès au lecteur de disquette et cd au boot en modifiant l'ordre du boot et en mettant un pass au bios, avec ces qq infos supplémentaires sur les keyloggers, ma tâche sera + facile merci

Reply

Marsh Posté le 28-09-2005 à 16:21:02    

tiens nous au courant, c'est interessant comme truc
 

Reply

Marsh Posté le 28-09-2005 à 16:24:58    

C'est donc les mdp admin locaux seuls qui sont découverts ?
 
Sous domaine 2000/2003, vous pouvez appliquez sur les postes clients des stratégies de sécurité qui empecheront l'utilisateur d'installer des programmes, d'accéder à la partition système, de lancer des scripts, ...
 
Vous pouvez aussi envisager le lancement d'un script de commande à l'ouverture du compte admin local qui enverrait un Netsend avec le nom du poste en question sur le bureau d'un membre du personnel. Histoire de prendre en flagrant délit le fautif :D

Reply

Marsh Posté le 28-09-2005 à 16:28:00    

Moi perso avant de le contrer, je le choperai  [:superpusso]  [:twixy]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed