Hello everybody,
 
Je veux imposer des mots de passe pour tous les users de mon domaine win2K, j'ai donc défini une GPO sur le domaine ca marche ya pas de probleme mais par contre je voudrais savoir si quelqu'un connait un soft qui permette de detecter quels users utilisent des mots de passe et lesquels n'en utilisent pas, afin que je ne force le changement de mot de passe a la prochaine ouverture de session que pour les users qui n'en ont pas.
 
Merci d'avance

 UP

C't'une bonne question ça. A mon avis, il va falloir farfouiller dans les logiciels de hacking. Mais j'en connais pas

 
tu as defini uniquement la complexité ? ou complexite + renouvellement ?

j'ai seulement défini mots de passe de 4 caractères minimum avec historique de 1 mot de passe.

tu peux forcer la périodicité, comme ca tu es sur que les gens le changeront et que leur prochain mot de passe soit en accord avec tes nouvelles regles.
 
un mdp à beau etre complexe s'il est pas changé regulierement ca sert à rien.

Ouais ouais je suis bien d'accord avec toi mais ne crois tu pas qu'il serait plus simple de savoir quels users ne se servent pas de mot de passe et forcer ces derniers a changer de mot de passe a la prochaine ouverture de session, plutot que de mettre un delai d'expiration qui va affecter tt le monde (au moins dans un premier temps, ceci dit par la suite je te suis sur le fait de faire changer les mots de passes regulierement).
 
C'est pour ca que je voulais savoir sil existe un truc pour savoir quels users en ont et lesquels n'en ont pas.
 
Sinon je vais faire comme tu me le conseil mais bon ceux qui viennent de changer de mot de passe vont gueuler et sur + de 200 users je sens qu'ils vont me gonfler...

ben en solution plus ou moins legale, tu as John The Ripper.
 

tu as un mode d'emploi avec ??? :-)

"détecter" un mot de passe vide ? ça revient à dire cracker les mots de passe
non, la solution c'est de cocher la case "l'utilisateur doit changer de mot de passe à la prochaine ouverture de session" sur tous les utilisateurs avec la GPO pour la complexité activée
tu le fais une bonne fois pour toutes.
 
ps : l'utilisation d'un programme de hack pour ça, je trouve ça dangereux, si tu tombes sur une version truffée t'auras l'air malin

Ouais je suis d'accord avec toi mai sje veux pas forcément utilisé un prog de hack a proprement parler en fait moi je m'en tape de connaitre leur mot de passe tt ce qui m'intéresse c'est de savoir sil y a ou non mot de passe sur tel ou tel user.
 
On m'a conseillé d'utilisé CAIN & ABEL ca a l'air super puissant mais le truc c'est que c'est un bordel innommable donc si quelqu'un connait un peu et qu'il puisse m'orienter.
 
Ce serait bien aimable !!

lol, mais réfléchis : si tu veux savoir si un mot de passe est vide, il te faut connaître ce mot de passe...
les mots de passe NT c'est pas des étoiles que tu peux compter dans un fichier hein... c'est un ptit peu crypté quand même

ont pourrait essayer de changer le mdp de tout les utilisateurs en precisant comme mdp actuel et nouveau mdp un mdp vide, si ca fonctionne c que le mot de passe est vide, sinon c que c ok.
par script ont peut autmatiser le truc et faire que chaque user qui a un mdp vide doit changer de mdp a la prochaine ouverture de session.
a condition de virer le "enforce password history" le temps d'executer le script evidemment.

sinon y'a aussi les logiciels de "password auditing and recovery" comme ils disent, genre LC4.
ca marche du tonerre de dieux ce truc, je l'avais utilisé sur des serveurs en workgroup avec un petit nombre d'utilisateurs avant de migrer en AD, tres efficace, et il te liste les mdp vide en 1 eclair.
par contre pas sur que ca fonctionne avec AD d'installé, peut etre en l'installant en local sur le server, je n'ai pas testé.
 
http://www.atstake.com/products/lc/ a voir si la version eval est suffisante ou pas, sinon c pas tres cher a peine 350euros :x

en surpuissant pour ce genre de choses, tu as aussi l'excellent LANguard Network Security Scanner

la reponse a ta question je penses est Baseline security analyser.
apres l'install tu met l'adresse ip de ton serveur, il te fournira toutes les MAJ manquantes ainsi que les pb de scurité entre autre les comptes utilisateur sans mot de passe.
Voila.
[url]
http://www.google.fr/search?q=cach [...] r&ie=UTF-8[/url]

malheureusement MBSA ne fonctionne pas sur les DC, du moins pour les soucis de securité liés aux mdp.

Mais si on le lance depuis un pc client, se trouvant ds un domaine  quelconque (ou meme ds le meme domaine) et ensuite mettre l'adresse ip du dc, ça devrait fonctionner non ?

non, j'ai testé le rapport dit exactement "password checks are not performed on a domain controller"

essaye une eval version de Languard, tu vas voir comme c'est puissant
 
http://www.gfi.com/downloads/downl [...] id=8&lid=1
 
en francais si besoin
 
http://www.gfsfrance.com/downloads [...] id=8&lid=4

vos programmes "surpuissants" ne font que du scan de base SAM...
un DC W2K n'a pas de base SAM, mais une base d'annuaire
il faut du LDAP pour la consulter, et une authentification par Kerberos, j'ai hâte de voir comment vos progs vont faire ça