 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Sans mot de passe des stations, l'administrateur n'est rien ! | |
| chris-of-paris | Euh au dernière nouvelle on ne peut pas "casser" du Kerberos en clef publique / clef privée, donc hormis attraper le compte admin local d'un poste (à vérifier), je ne vois pas trop...
Pour accèder à un poste inclus dans un domaine Active Directory, tu peux lui descendre une GPO "ordinateur" pour te coller dans les admins locaux si l'utilisateur perfide et vicieux t'as éjecté... |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| chris-of-paris | Euh au dernière nouvelle on ne peut pas "casser" du Kerberos en clef publique / clef privée, donc hormis attraper le compte admin local d'un poste (à vérifier), je ne vois pas trop...
Pour accèder à un poste inclus dans un domaine Active Directory, tu peux lui descendre une GPO "ordinateur" pour te coller dans les admins locaux si l'utilisateur perfide et vicieux t'as éjecté... |
| dkape | Salut !
Tu peux utiliser Run as ou executer en tant que. |
| weebbeep | hum ?
je n'ai jamais entendu parler de cette disquette je connaissais seulement la disquette qui permet de changer le mot de passe admin ca m'inquiete... un mot de passe admin changé cela se voit.... par contre un mot de passe admin cracké c'est plus qu'inquietant |
| shadowman | D7 linux spéciale, t'as accès a ts les comptes locaux et tu peux lire/ chger les mdp... voire les supprimer ! |
| El Pollo Diablo | Précision : la disquette Linux permet de changer les mots de passe, pas de retrouver ceux en place, et elle ne fonctionne que sur les SAM locales des PC, sur une AD ca ne marche pas.
Sinon heureusement que l'admin n'a pas acces a tous les autres mots de passe, ce serait vraiment un gros trou de securité. Perso je suis partisan de la methode de Kill9, le gars qui veut qu'on intervienne sur son poste et qui confond intervention du service info avec pause café a rallonge, ben il attend. |
| Requin | Thalis -> Je l'utilise aussi ne t'inquiète pas ;) Tout dépend du nombre de machines / utilisateurs concernés. Si tu en as peu tu peux te le permettre, dès que le nombre augmente faut pas avoir grand chose à faire de ses journées :D |
| thalis |
|
| Requin | Thalis -> Télécharge un dico de prénom, nom, mots français / anglais / allemand si les utilisateurs n'ont pas été "briefé" côté sécurité en quelque secondes tu as déjà une bonne partie des mots de passes. |
| thalis | ben déjà c du bruteforce alors c loooooooooooong .... |
| Requin | Alucard -> Ton approche du problème est à mon avis mauvaise...
Pour le petit exposé la registry, ou est stockée la quasi totalité de la configuration, est organisée en diverses ruches. L'une se nomme HKEY_CURRENT_USER, est stockée dans le fichier user.dat et est propre à chaque utilisateur. C'est probablement dans cette ruche qu'il faudra modifier certaines clefs. L'approche serait la suivante : 1) Repérer les clefs de la registry qui stockent les paramètres en questions, les isoler et définir quelles sont les valeurs souhaitées (un regitry tracker permet de les mettre en évidence) 2) Créer un script avec Windows Scripting Host (VBSCript, JScript) qui te modifie les clefs en question. 3) Appeler ce script au login de l'utilisateur depuis ou avec un login script (donc dans son contexte de sécurité) Quelques références : - Microsoft Script Center - Microsoft Windows Script Sinon pour répondre à ta question initiale, il existe un utilitaire (certes pas gratuit) qui permet de casser les mots de passes d'utilisateur. J'ignore son efficacité sur AD (j'avais du l'utiliser sous NT4 à l'époque dans une précédente version quand ca s'appelait encore L0phtCrack) : http://www.atstake.com/products/lc/ |
| kill9 | Si l'intervention necessite la présence de l'utilisateur(par exemple pour lui installer un soft capricieux) et qu'il n'est pas là quand tu lui a donné rendez-vous, tu lui dépose un post-it sur son PC lui demandant de reprendre rdv avec toi pour la manip...et tu le fait attendre une semaine(invente des excuses...)
Testé en live -> dès le 3ème utilisateur, tout les autres savent qu'ils n'ont pas interet à manquer le rdv. Sinon, tu passe pour la bonne poire à la dispo des autres |
| alucard17 |
|
| Z_cool |
|
| BB |
|
| thalis |
|
| DJ_ThOnY |
|
| alucard17 | bah ya donc aucun moyen , c nul , c qd meme mal chier, il pourrait penser a ca, c qd meme important et surtout pratique ! |
| Z_cool |
|
| thalis |
|
| Z_cool |
|
| thalis |
|
| thalis |
|
| Z_cool |
|
| alucard17 |
|
| alucard17 |
|
| Z_cool | Log toi en admin, et change le pass de l utilisateur, log toi sous sont nom, et laisse lui un petit message papier lui demandant de te recontacter pour avoir son nouvo pass |
| alucard17 |
|
| Jovial | si tu administres le domaine, pourquoi ne te loggues tu pas sur les postes en domain admin pour l'intervention ? |
| alucard17 | salut, jai un gros souci avec mon domaine, car jai appliqué une strategie de mot de passe avec changement tous les 3 mois sur les stations clientes.
Le souci est que à chaque fois que je veux intervenir sur un poste client, l'utilisateur n'est pas la et je suis donc bloqué sans mot de passe. y a til un moyen de recupérer ces mot de passe sur le serveur 2000 ? merci |
