Mot de passe Admin local visible

Mot de passe Admin local visible - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 20-11-2008 à 10:00:24    

Bonjour tlm,

 

on a  créer un petit vbs (bien connu) pour changer le mdp admin local sur toutes les machines de notre parc (via GPO), le soucis etant qu'avec cette methode, ce mdp apparait en clair dans le script (ça on peut encore le planquer) mais surtout dans la bdr, donc aucun interet.

 

voici ce script :

 

Set objUser = GetObject("WinNT://./Administrateur,user";
objUser.SetPassword "mdp"
objUser.SetInfo

 


Y'a t'il une autre methode ? un freeware, ou bien un truc a changer au niveau du script ?
si quelqu'un peut m'aiguiller   :jap:


Message édité par xanack le 20-11-2008 à 10:32:26
Reply

Marsh Posté le 20-11-2008 à 10:00:24   

Reply

Marsh Posté le 21-11-2008 à 10:34:34    

Salut,
comment ça se fait que ça apparait en clair dans la bdr ?!
tu peux en passant désactiver l'accès à la bdr à tes clients, ils n'ont rien a y faire :)

 

au niveau du script tu peux obscurcir le code histoire de le rendre bien illisible :D avec genre une petite fonction de cryptage maison qui rend la chose compliquée :D


Message édité par darxmurf le 21-11-2008 à 10:35:00

---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 21-11-2008 à 20:27:12    

salut darxmurf...
ouais pour la bdr t'as raison mais j'ai pas envie qu'un rigolo se serve d'un cd type password NT (sous nunux) et qu'il ait l'acces ne serait ce qu'un fois a la bdr pour le toper.... je te donnerai la clé mais ça apparait clairement avec ce script pourtant bien répandu.
Ma boite c'est que des informaticiens qui adorent ce genre de defis a la con, meme si ça peut conduire a du disciplinaire... mettre a l'amende l'IT, ca n'a pas de prix.
 
Pour l'instant on a recompilé le script en le "transformant" en exe... me demande pas comment je suis une quiche en scripting, c'est la partie de mon collegue.

Reply

Marsh Posté le 22-11-2008 à 15:01:01    

Bah souvent les softs qui convertissent les script en exe, si tu ouvres l'exe avec notepad et que tu regardes un peu, tu trouveras le mot de passe

Reply

Marsh Posté le 22-11-2008 à 17:41:31    

mais ouais je sais bien, c'est un petit truc supplementaire  :/
c'est quand meme dingue qu'il n'y ait pas une methode efficace connue pour deployer le mdp admin local, sans que ce soit facile de le retrouver...
je suis un peu en hallu.

Reply

Marsh Posté le 22-11-2008 à 21:23:55    

bah un script machine avec le mdp dedans et tu met les droits ntfs qui vont bien pour l'accès au fichier (domain computers), ça limite qd même grandement. Sinon si toutes machines allumées, un psexec :o

Reply

Marsh Posté le 23-11-2008 à 13:27:47    

De toute façon, avec une certaine distrib', tu peux même avoir le mot de passe de l'admin local en 5 min chrono.
Et dès que tu as accès à l'ordinateur, avec un lecteur cd, et tu es déjà "en danger".
Donc si tu pars du principe que tous tes utilisateurs sont super informaticiens & brigands en puissance .... faut pas leur mettre de pc !!!

Reply

Marsh Posté le 24-11-2008 à 10:45:18    

non attend, extrapoles pas mes propos.. je disais juste que les gens ici sont tous "informaticien" et que certains aiment bien nous faire passer pour des cons, forcement on les bride (proxy, gpo, droits...)... donc des que ya faille et qu'ils peuvent nous la mettre dans la tronche...  
 
Maintenant si ils bootent sur une distrib linux pour reseter le mdp, c'est pas pareil, deja ils n'ont pas acces a leur cd (gpo), d'autre part ils resetent mais n'ont pas acces au mdp lui meme (et donc ne peuvent pas le communiquer... ce qui serait franchement emmerdant). Et dans ce cas ils sont carrement en faute.
 
Si ce mdp passe apparait dans la bdr et qu'ils y accedent, ils ne sont pas en faute.

Reply

Marsh Posté le 24-11-2008 à 10:49:36    

titides a écrit :

De toute façon, avec une certaine distrib', tu peux même avoir le mot de passe de l'admin local en 5 min chrono.
 


[HS]
Ah bon et quelle distrib te permettent te récupérer le mot de passe admin?
Autant le réinitialiser pas de soucis, mais le récupérer en clair j'en doute ...
[HS]


---------------
www.google.fr  
Reply

Marsh Posté le 24-11-2008 à 10:52:28    

exactly  :o

Reply

Marsh Posté le 24-11-2008 à 10:52:28   

Reply

Marsh Posté le 24-11-2008 à 10:53:43    

Sauf que ça fait pas avancer le schmililiblick


---------------
www.google.fr  
Reply

Marsh Posté le 24-11-2008 à 10:58:05    

Reply

Marsh Posté le 24-11-2008 à 11:03:22    

ouais c'est la soluce qu'a donné Je@nb, sauf qu'il faut que tous les pc soient allumés.. j'en ai 400, un peu lourd dingue a checker.

Reply

Marsh Posté le 24-11-2008 à 11:03:53    

boobaka a écrit :


[HS]
Ah bon et quelle distrib te permettent te récupérer le mot de passe admin?
Autant le réinitialiser pas de soucis, mais le récupérer en clair j'en doute ...
[HS]


 
ophcrack : http://ophcrack.sourceforge.net/
 

Reply

Marsh Posté le 24-11-2008 à 11:05:47    

protection du bios, bitlocker et roulez jeunesse :o

Reply

Marsh Posté le 24-11-2008 à 11:42:48    

ouais mais pareil pour le bios... si faut que je me tape les 400 pc.

Reply

Marsh Posté le 24-11-2008 à 11:48:55    

Bon j'ai vu avec mon collegue dev, il a recompilé en exe... d'apres lui si tu ouvres cet exe avec notpad ou autre c'est de l'hexa ou je ne sais quoi... et en plus il y a un mdp pour decompiler.
Donc bon cette soluce n'a l'air pas si mal finalement...
 
Si' l'un de nos collaborateurs trouvent, c'est que vraiment ya une volonté de hacker (au meme titre que de booter sur une distrib pour reset le mdp) et la il joue gros.

Reply

Marsh Posté le 24-11-2008 à 12:07:05    

Si tu convertis l'hexa en ASCII tu verras des lettres. Après faut voir, ça peut être un peu protéger. Et rien n'empêche de désassembler.
 
Ouvre ton exe avec notepad déjà, tu auras déjà un indice :o

Reply

Marsh Posté le 24-11-2008 à 12:11:29    

non mais je t'ai dit "hexa" mais je suis pas sur que ce soit vraiment ça... ouep je vais tester.

Reply

Marsh Posté le 24-11-2008 à 14:06:38    

il est possible de faire celà en utilisant les gpo preferences.
Cela implique d'installer au préalable les extensions sur les postes clients.
 
http://social.technet.microsoft.co [...] 812dfe073/
 
C'est la méthode 1 qu'il faut choisir, avec gpo prefs, pas la version scriptée (qui correspond a ce dont vous parlez plus haut).

Reply

Marsh Posté le 24-11-2008 à 14:55:55    

ouais ça a l'air assez puissant !
mais faut aussi l'installer sur nos DC j'imagine ? ça risque d'etre plus dur pour moi ça car j'ai pas la main sur le systeme de nos DC. Je suis juste admin de mon OU.
Merci quand meme, c'est interressant....

Reply

Marsh Posté le 24-11-2008 à 15:00:00    

oui il faut installer l'extension sur ton DC si c'est un windows 2003, sur du 2008 c'est de base.
 
Ca vaut le coup de demander l'install sur ton DC, ca permet des petites choses sympa (du genre monter les lecteurs réseau sans passer par du script, avec des conditions par user / pc / etc).

Reply

Marsh Posté le 24-11-2008 à 15:04:49    

ouais mais ça c'est pas gagné, c'est administrer en amont par des ricains et ça veut dire le faire sur tout les DC, y'en a un paquet... le temps que ce soit approuvé... on sera deja passé en 2008   :/

Reply

Marsh Posté le 24-11-2008 à 15:20:12    

arf ok .. dommage ... c'est juste un patch a installer en plus.

Reply

Marsh Posté le 24-11-2008 à 15:42:23    

je vais en parler quand meme... on verra bien...merci.

Reply

Marsh Posté le 24-11-2008 à 18:54:10    

C'est pas le fait de voir le mdp qui serait grave, c'est de s'en servir pour nuire à quelquechose ou détourner un usage prévu par ta société. On peut très bien avoir un mot de passe administrateur, mais du moment que les personnes ne s'en servent pas, il n'y a pas de réel danger en soi. Mais s'il utilise ce mdp pour aller là où ils n'ont pas le droit d'aller, forcément là ils sont en faute. Mais avec ophcrack, tu as le ou les comptes locaux assez rapidement. Mais n'oublie pas que la GPO n'est qu'une fois qu'on entre dans Windows, là il s'agit de booter dessus.
(donc réglage dans le bios pour booter dessus, et on zappe la GPO, les doigts dans le nez  :D )
J'avoue quand même que ce logiciel est très bien dans de bonnes mains ... mais peut être très néfaste aussi dans de mauvaises mains. (mais quelque part, tu n'as que le DL, le graver, et basta, c'est à la portée de tout le monde, suffit juste de connaitre le soft  ;) )
 

xanack a écrit :

Maintenant si ils bootent sur une distrib linux pour reseter le mdp, c'est pas pareil, deja ils n'ont pas acces a leur cd (gpo), d'autre part ils resetent mais n'ont pas acces au mdp lui meme (et donc ne peuvent pas le communiquer... ce qui serait franchement emmerdant). Et dans ce cas ils sont carrement en faute. Si ce mdp passe apparait dans la bdr et qu'ils y accedent, ils ne sont pas en faute.


Reply

Marsh Posté le 24-11-2008 à 18:55:44    

J'oubliais
 Tu peux très bien le mettre en clair dans la BDR, et interdire le menu executer voir même la commande regedit pour tous les users concernés, ca me semble plus simple par ce biais.

Reply

Marsh Posté le 24-11-2008 à 19:26:27    

bah ça reste qu'un mdp local.. a part installer des conneries, c'est pas "dangereux". C'est plus un pb moral finalement, et on se doit, nous, d'etre un minimum crédible (mdp en clair, ça la fout mal quand meme)
Et surtout j'ai pas envie que mon chef me demande de trouver des preuves parce qu'un blaireau s'est fait chopper.
Sinon oui pour le cd, effectivement je n'y avait pas penser, ça reste quand meme une action apparentée a du piratage.

 

Pour la bdr oui on pourrait la bloquer mais ils en ont besoin (ils font du support technique et parfois doivent retrouver des clés, pour guider leur client) donc bon...

 

Ya un historique assez specifique, dans ma boite ou c'etait "open bar" avant que mon chef prenne les commandes... Du coup bah les gens ont un peu la haine (dumoins les anciens)...
plus de toshop12, plus de divx, itunes.....plus de bidouilles (et donc on ghostait tous les 4 matins). Pas facile a digerer.


Message édité par xanack le 24-11-2008 à 19:28:32
Reply

Marsh Posté le 24-11-2008 à 19:32:40    

je suis en train de choper l'iso d'ophcrack, histoire de voir....

Reply

Marsh Posté le 24-11-2008 à 20:56:28    

Pense aussi à tes loisirs, etc .... parfois ca fait du bien de ne pas penser au boulot à partir d'une certaine heure :D

Reply

Marsh Posté le 25-11-2008 à 09:26:26    

lol j'ai laché l'affaire a 19:40... toi a 20:56 t'etais toujours dans la place !  ;)

 

pour ophcrack a priori les versions gratuites ne prennent pas en compte les caractères speciaux... hors, nous, on oblige a en mettre.
La version qui les prend en compte est payante et pese 7.5go (donc dvd), ça complique encore un peu l'histoire pour mes eventuels crackeurs en herbe. :)

 

a+

Message cité 1 fois
Message édité par xanack le 25-11-2008 à 09:27:16
Reply

Marsh Posté le 25-11-2008 à 10:09:08    

bof suffit de te faire ta rainbow table

Reply

Marsh Posté le 25-11-2008 à 10:23:39    

xanack a écrit :


La version qui les prend en compte est payante et pese 7.5go (donc dvd), ça complique encore un peu l'histoire pour mes eventuels crackeurs en herbe. :)

 

;)


Message édité par xanack le 25-11-2008 à 10:35:35
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed