Sans mot de passe des stations, l'administrateur n'est rien !

Sans mot de passe des stations, l'administrateur n'est rien ! - Windows & Software

Marsh Posté le 01-12-2003 à 08:58:45    

salut, jai un gros souci avec mon domaine, car jai appliqué une strategie de mot de passe avec changement tous les 3 mois sur les stations clientes.
 
Le souci est que à chaque fois que je veux intervenir sur un poste client, l'utilisateur n'est pas la et je suis donc bloqué sans mot de passe.
 
y a til un moyen de recupérer ces mot de passe sur le serveur 2000 ?
merci

Reply

Marsh Posté le 01-12-2003 à 08:58:45   

Reply

Marsh Posté le 01-12-2003 à 09:03:32    

si tu administres le domaine, pourquoi ne te loggues tu pas sur les postes en domain admin pour l'intervention ?

Reply

Marsh Posté le 01-12-2003 à 09:22:38    

jovial a écrit :

si tu administres le domaine, pourquoi ne te loggues tu pas sur les postes en domain admin pour l'intervention ?


 
Ben tout depend de l'intervention. pour certains logiciels, les changements se font selon la session ouverte. si je fais des changements en code admin, l'utilisateur ne les verra pas sous sa session.

Reply

Marsh Posté le 01-12-2003 à 09:34:04    

Log toi en admin, et change le pass de l utilisateur, log toi sous sont nom, et laisse lui un petit message papier lui demandant de te recontacter pour avoir son nouvo pass


---------------
#mais-chut
Reply

Marsh Posté le 01-12-2003 à 09:44:05    

Z_COOL a écrit :

Log toi en admin, et change le pass de l utilisateur, log toi sous sont nom, et laisse lui un petit message papier lui demandant de te recontacter pour avoir son nouvo pass


 
Ben dans les situations critiques , c'est ce que je fais, mais c'est vraiment pas l'ideal...
Il ny a vraiment a

Reply

Marsh Posté le 01-12-2003 à 09:45:24    

Alucard17 a écrit :


 
Ben dans les situations critiques , c'est ce que je fais, mais c'est vraiment pas l'ideal...
Il ny a vraiment a


 
sorry jai taper entrée sans faire expres, donc je continue :)
 
il ny a vraiment aucun outil pour choper ces mot de passe qui me simplifierai tellement !?!

Reply

Marsh Posté le 01-12-2003 à 09:48:34    

Alucard17 a écrit :


 
sorry jai taper entrée sans faire expres, donc je continue :)
 
il ny a vraiment aucun outil pour choper ces mot de passe qui me simplifierai tellement !?!


si, il y a des diskettes linux qi permetent de decrypter le Pass de l admin, mais je ne sais pas si ca marche pour d autre utilisateurs.
 
parfois, aussi, le plus simple c est de regarder le bureau de la personne, il y a des postit sur l ecran donnant ses parametre d acces, sont numero de CB,... [:tinostar]  (le pire, c est ke c est du vecu)
 


---------------
#mais-chut
Reply

Marsh Posté le 01-12-2003 à 09:48:35    

Alucard17 a écrit :


 
sorry jai taper entrée sans faire expres, donc je continue :)
 
il ny a vraiment aucun outil pour choper ces mot de passe qui me simplifierai tellement !?!


 
euh non, et heureusement :D où alors configure ton controleur de domaine pour qu'il enregistre en clair les changement de mdp, mais niveau securité ça devient limite...

Reply

Marsh Posté le 01-12-2003 à 09:49:20    

Z_COOL a écrit :


si, il y a des diskettes linux qi permetent de decrypter le Pass de l admin, mais je ne sais pas si ca marche pour d autre utilisateurs.
 
parfois, aussi, le plus simple c est de regarder le bureau de la personne, il y a des postit sur l ecran donnant ses parametre d acces, sont numero de CB,... [:tinostar]  (le pire, c est ke c est du vecu)
 
 


 
sisi tu peux changer l'utilisateur que tu veux, mais pr lui c'est le meme probleme que s'il change le mdp du compte directement sur le serveur ...

Reply

Marsh Posté le 01-12-2003 à 09:51:09    

Thalis a écrit :


 
sisi tu peux changer l'utilisateur que tu veux, mais pr lui c'est le meme probleme que s'il change le mdp du compte directement sur le serveur ...


 
oui, ca evidement, kil peut le fair sur le controleur de Domain. et c est meme mieux ke la diskette ki fait une attaque brutale pendant 5 heures


---------------
#mais-chut
Reply

Marsh Posté le 01-12-2003 à 09:51:09   

Reply

Marsh Posté le 01-12-2003 à 10:16:39    

Z_COOL a écrit :


 
oui, ca evidement, kil peut le fair sur le controleur de Domain. et c est meme mieux ke la diskette ki fait une attaque brutale pendant 5 heures


 
 :heink: la disquette nux ne fait pas de brute force, elle change le mdp et ça prend 30s ....

Reply

Marsh Posté le 01-12-2003 à 10:30:12    

Thalis a écrit :


 
 :heink: la disquette nux ne fait pas de brute force, elle change le mdp et ça prend 30s ....


ca ce peut, j ai jamais essayé  [:tinostar]


---------------
#mais-chut
Reply

Marsh Posté le 01-12-2003 à 10:30:14    

bah ya donc aucun moyen , c nul , c qd meme mal chier, il pourrait penser a ca, c qd meme important et surtout pratique !

Reply

Marsh Posté le 01-12-2003 à 10:35:38    

Z_COOL a écrit :


ca ce peut, j ai jamais essayé  [:tinostar]  


Moi je m 'en suis servi plusieur sfois pour des postes bloqués de client par exemple ca fonctionne super bien et je crois que ca met meme moins de 30 sec si on le met sur cd ;)

Reply

Marsh Posté le 01-12-2003 à 10:36:30    

Alucard17 a écrit :

bah ya donc aucun moyen , c nul , c qd meme mal chier, il pourrait penser a ca, c qd meme important et surtout pratique !


 
ben soit tu files un mdp toi meme à tes users et tu empeche le changement, soit ils ont le droit de le changer comme ils veulent avec ou sans stockage des changements sur le serveur, c une question de securité !

Reply

Marsh Posté le 01-12-2003 à 11:25:10    

Thalis a écrit :


 
ben soit tu files un mdp toi meme à tes users et tu empeche le changement, soit ils ont le droit de le changer comme ils veulent avec ou sans stockage des changements sur le serveur, c une question de securité !


 
J'allais le dire : Mdp imposé, et basta.

Reply

Marsh Posté le 01-12-2003 à 11:46:01    

Alucard17 a écrit :

bah ya donc aucun moyen , c nul , c qd meme mal chier, il pourrait penser a ca, c qd meme important et surtout pratique !


 
ba kan les soft sont bien fait : Office, Paint shop pro,... il ne s installent paske pour l utilisateur courant, mais pour tout le monde.


---------------
#mais-chut
Reply

Marsh Posté le 01-12-2003 à 13:39:24    

Thalis a écrit :


 
ben soit tu files un mdp toi meme à tes users et tu empeche le changement, soit ils ont le droit de le changer comme ils veulent avec ou sans stockage des changements sur le serveur, c une question de securité !


 
oui mais question securité , le changement c mieux.
 
quest ce que tu entends par "stockage des changements sur le serveur" ?

Reply

Marsh Posté le 01-12-2003 à 13:52:54    

Si l'intervention necessite la présence de l'utilisateur(par exemple pour lui installer un soft capricieux) et qu'il n'est pas là quand tu lui a donné rendez-vous, tu lui dépose un post-it sur son PC lui demandant de reprendre rdv avec toi pour la manip...et tu le fait attendre une semaine(invente des excuses...)
Testé en live -> dès le 3ème utilisateur, tout les autres savent qu'ils n'ont pas interet à manquer le rdv.
Sinon, tu passe pour la bonne poire à la dispo des autres

Reply

Marsh Posté le 01-12-2003 à 14:36:22    

Alucard -> Ton approche du problème est à mon avis mauvaise...
 
Pour le petit exposé la registry, ou est stockée la quasi totalité de la configuration, est organisée en diverses ruches. L'une se nomme HKEY_CURRENT_USER, est stockée dans le fichier user.dat et est propre à chaque utilisateur. C'est probablement dans cette ruche qu'il faudra modifier certaines clefs.
 
L'approche serait la suivante :
1) Repérer les clefs de la registry qui stockent les paramètres en questions, les isoler et définir quelles sont les valeurs souhaitées (un regitry tracker permet de les mettre en évidence)
2) Créer un script avec Windows Scripting Host (VBSCript, JScript) qui te modifie les clefs en question.
3) Appeler ce script au login de l'utilisateur depuis ou avec un login script (donc dans son contexte de sécurité)
 
Quelques références :
- Microsoft Script Center
- Microsoft Windows Script
 
Sinon pour répondre à ta question initiale, il existe un utilitaire (certes pas gratuit) qui permet de casser les mots de passes d'utilisateur. J'ignore son efficacité sur AD (j'avais du l'utiliser sous NT4 à l'époque dans une précédente version quand ca s'appelait encore L0phtCrack) : http://www.atstake.com/products/lc/


Message édité par Requin le 01-12-2003 à 14:37:12
Reply

Marsh Posté le 01-12-2003 à 14:49:46    

ben déjà c du bruteforce alors c loooooooooooong ....

Reply

Marsh Posté le 01-12-2003 à 14:55:42    

Thalis -> Télécharge un dico de prénom, nom, mots français / anglais / allemand si les utilisateurs n'ont pas été "briefé" côté sécurité en quelque secondes tu as déjà une bonne partie des mots de passes.

Reply

Marsh Posté le 01-12-2003 à 15:13:11    

Requin a écrit :

Thalis -> Télécharge un dico de prénom, nom, mots français / anglais / allemand si les utilisateurs n'ont pas été "briefé" côté sécurité en quelque secondes tu as déjà une bonne partie des mots de passes.


 
voui ben euh je prefere ma methode, si g *vraiment* besoin du mdp, je le change au niveau du serveur, je fais mes bidouilles, je deloggue et je dis au serveur de demander un nouveau mdp à la prochaine ouverture de session :D

Reply

Marsh Posté le 01-12-2003 à 15:16:45    

Thalis -> Je l'utilise aussi ne t'inquiète pas ;) Tout dépend du nombre de machines / utilisateurs concernés. Si tu en as peu tu peux te le permettre, dès que le nombre augmente faut pas avoir grand chose à faire de ses journées :D

Reply

Marsh Posté le 01-12-2003 à 15:18:29    

Précision : la disquette Linux permet de changer les mots de passe, pas de retrouver ceux en place, et elle ne fonctionne que sur les SAM locales des PC, sur une AD ca ne marche pas.
 
Sinon heureusement que l'admin n'a pas acces a tous les autres mots de passe, ce serait vraiment un gros trou de securité.
Perso je suis partisan de la methode de Kill9, le gars qui veut qu'on intervienne sur son poste et qui confond intervention du service info avec pause café a rallonge, ben il attend.

Reply

Marsh Posté le 09-12-2003 à 17:06:14    

D7 linux spéciale, t'as accès a ts les comptes locaux et tu peux lire/ chger les mdp... voire les supprimer !

Reply

Marsh Posté le 15-12-2003 à 01:48:41    

hum  ?
 
je n'ai jamais entendu parler de cette disquette
je connaissais seulement la disquette qui permet de changer le mot de passe admin
 
ca m'inquiete...
 
un mot de passe admin changé cela se voit....
par contre un mot de passe admin  cracké c'est plus qu'inquietant


Message édité par weebbeep le 15-12-2003 à 01:49:09
Reply

Marsh Posté le 19-12-2003 à 17:04:10    

Salut !
 
Tu peux utiliser Run as ou executer en tant que.

Reply

Marsh Posté le 30-12-2003 à 16:11:12    

Euh au dernière nouvelle on ne peut pas "casser" du Kerberos en clef publique / clef privée, donc hormis attraper le compte admin local d'un poste (à vérifier), je ne vois pas trop...
 
Pour accèder à un poste inclus dans un domaine Active Directory, tu peux lui descendre une GPO "ordinateur" pour te coller dans les admins locaux si l'utilisateur perfide et vicieux t'as éjecté...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed