3 votes

Johannes K. Lehnert avatar

Puis-je obtenir tous les mots de passe d'Active Directory en texte clair en utilisant un cryptage réversible ?

Demandé el 16 de Mai, 2009
Quand la question a-t-elle été
105739 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

EDIT : Quelqu'un peut-il réellement répondre à la question ? Merci, je n'ai pas besoin de piste d'audit, je vais connaître tous les mots de passe et les utilisateurs ne peuvent pas les changer et je vais continuer à le faire.

Ce n'est pas pour le piratage !

Nous avons récemment migré d'un vieux domaine Linux/Samba rouillé vers un répertoire actif. Nous avions une petite interface personnalisée pour gérer les comptes. Elle stockait toujours les mots de passe de tous les utilisateurs et de tous les comptes de service en clair dans un emplacement sécurisé (bien sûr, beaucoup d'entre vous ne penseront certainement pas que c'est sécurisé, mais sans véritables exploits, personne ne pourrait lire cela) et désactivait le changement de mot de passe sur le contrôleur de domaine samba. De plus, aucun utilisateur ne peut jamais choisir ses propres mots de passe, nous les créons en utilisant pwgen. Nous ne les changeons pas tous les 40 jours environ, mais seulement tous les 2 ans pour récompenser les employés qui les apprennent vraiment et ne les écrivent PAS.

Nous avons besoin des mots de passe pour, par exemple, accéder aux comptes des utilisateurs et modifier les paramètres qui sont trop compliqués pour les stratégies de groupe ou pour aider les utilisateurs.

Il s'agit certainement de politiques controversées, mais je veux les poursuivre sur AD. Maintenant, j'enregistre les nouveaux comptes et leurs noms générés par PWGEN (pwgen crée des mots aléatoires au son agréable avec de belles quantités de voyelles, de consonnes et de chiffres) manuellement dans l'ancien fichier texte que les anciens scripts maintenaient automatiquement.

Comment puis-je récupérer cette fonctionnalité dans AD ?

Je vois qu'il existe un "cryptage réversible" dans les comptes AD, probablement pour les systèmes d'authentification par réponse à un défi qui nécessitent le mot de passe en clair stocké sur le serveur.

Existe-t-il un script qui affiche tous ces mots de passe ? Ce serait génial. (Encore une fois : je fais confiance à mon DC pour ne pas être compromis).

Ou puis-je avoir un plugin dans AD users&computers qui reçoit une notification de chaque nouveau mot de passe et le stocke dans un fichier ?

Sur les clients qui le peuvent avec les GINA-dlls, ils peuvent être informés des mots de passe et obtenir le texte clair.

Demandé el 16 de Mai, 2009 par Johannes K. Lehnert

Réponses

Trop de publicités?

4voto

Abhinav avatar
Abhinav Points 1161

Je pense que les questions d'audit, de responsabilité et de sécurité générale ont été traitées de manière adéquate, alors je vais essayer une autre réponse :)

Il existe un Service de notification de changement de mot de passe qui peut être installé sur tous les contrôleurs de domaine et qui transmettra tous les changements de mot de passe en toute sécurité à un service récepteur.

Il a été conçu pour Identity Integration Server (maintenant Identity Lifecycle Manager) comme cible, mais il devrait être possible d'écrire votre propre cible, ou même d'utiliser MIIS/MILM pour recevoir le mot de passe et le transmettre via un autre connecteur à votre propre système.

Répondu el 28 de Mai, 2009 par Abhinav (1161 Points )

4voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Pour répondre à la question, lisez ceci : http://blog.teusink.net/2009/08/passwords-stored-using-reversible.html

En bas de l'article est décrit comment obtenir le mot de passe réversible stocké. Je n'ai pas essayé, donc je ne sais pas exactement comment faire comme décrit, mais cela devrait fonctionner.

À part cela, je suis d'accord avec le reste des personnes qui crient au loup à la suggestion d'utiliser un cryptage réversible. Ce n'est tout simplement pas sûr.

Répondu el 27 de Août, 2010 par Utilisateur non enregistré (0 Points )

2voto

amp108 avatar
amp108 Points 1971

Il vous faudrait obtenir les hachages (LM ou NTLM) et effectuer une attaque par dictionnaire sur ceux-ci. Toute personne ayant un mot de passe modérément complexe serait presque impossible à découvrir. N'activez pas le "chiffrement réversible" - vous devez changer la façon dont vous gérez les mots de passe.

Répondu el 16 de Mai, 2009 par amp108 (1971 Points )

2voto

Mike Heinz avatar
Mike Heinz Points 1081

Débloquer l'administrateur pourrait résoudre une partie de votre problème sans nécessiter la connaissance du mot de passe.

Répondu el 16 de Mai, 2009 par Mike Heinz (1081 Points )

2voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Il y a plusieurs façons de procéder que j'ai vues utilisées par des personnes qui ont pénétré nos serveurs. La méthode la plus populaire est de vider les hachages de mots de passe dans un fichier en utilisant quelque chose comme pwdump4, puis de faire passer les hachages résultants par une Rainbow Table. Il existe des limites de longueur de mot de passe qui rendent cette approche beaucoup plus difficile, c'est pourquoi nos mots de passe administratifs ont tous 16 caractères ou plus.

Une fois que vous avez investi dans un bon jeu de tables arc-en-ciel (vous pouvez en trouver pour un bon prix sur Internet, et si c'est vraiment votre domaine d'activité, le coût ne devrait pas être un problème), le processus de vidage et de décryptage peut être effectué en moins de 30 minutes pour la plupart des utilisateurs.

Nous l'avons fait une fois pour avoir une idée de la facilité avec laquelle les mots de passe de nos utilisateurs étaient devinés. Environ 30 % des mots de passe ont été craqués dans les 5 minutes suivant le début d'une simple attaque par dictionnaire, et près de 80 % ont été craqués par le biais d'un tableau Rainbow auto-généré en moins d'une journée. C'était.... il y a 3 ans, donc les choses se sont accélérées. Les résultats ont été présentés à la direction, qui a rapidement accepté de renforcer (voire de créer) les politiques en matière de mots de passe.

Répondu el 29 de Mai, 2009 par sysadmin1138 (129885 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X