3 votes

Johannes K. Lehnert avatar

Puis-je obtenir tous les mots de passe d'Active Directory en texte clair en utilisant un cryptage réversible ?

Demandé el 16 de Mai, 2009
Quand la question a-t-elle été
105741 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

EDIT : Quelqu'un peut-il réellement répondre à la question ? Merci, je n'ai pas besoin de piste d'audit, je vais connaître tous les mots de passe et les utilisateurs ne peuvent pas les changer et je vais continuer à le faire.

Ce n'est pas pour le piratage !

Nous avons récemment migré d'un vieux domaine Linux/Samba rouillé vers un répertoire actif. Nous avions une petite interface personnalisée pour gérer les comptes. Elle stockait toujours les mots de passe de tous les utilisateurs et de tous les comptes de service en clair dans un emplacement sécurisé (bien sûr, beaucoup d'entre vous ne penseront certainement pas que c'est sécurisé, mais sans véritables exploits, personne ne pourrait lire cela) et désactivait le changement de mot de passe sur le contrôleur de domaine samba. De plus, aucun utilisateur ne peut jamais choisir ses propres mots de passe, nous les créons en utilisant pwgen. Nous ne les changeons pas tous les 40 jours environ, mais seulement tous les 2 ans pour récompenser les employés qui les apprennent vraiment et ne les écrivent PAS.

Nous avons besoin des mots de passe pour, par exemple, accéder aux comptes des utilisateurs et modifier les paramètres qui sont trop compliqués pour les stratégies de groupe ou pour aider les utilisateurs.

Il s'agit certainement de politiques controversées, mais je veux les poursuivre sur AD. Maintenant, j'enregistre les nouveaux comptes et leurs noms générés par PWGEN (pwgen crée des mots aléatoires au son agréable avec de belles quantités de voyelles, de consonnes et de chiffres) manuellement dans l'ancien fichier texte que les anciens scripts maintenaient automatiquement.

Comment puis-je récupérer cette fonctionnalité dans AD ?

Je vois qu'il existe un "cryptage réversible" dans les comptes AD, probablement pour les systèmes d'authentification par réponse à un défi qui nécessitent le mot de passe en clair stocké sur le serveur.

Existe-t-il un script qui affiche tous ces mots de passe ? Ce serait génial. (Encore une fois : je fais confiance à mon DC pour ne pas être compromis).

Ou puis-je avoir un plugin dans AD users&computers qui reçoit une notification de chaque nouveau mot de passe et le stocke dans un fichier ?

Sur les clients qui le peuvent avec les GINA-dlls, ils peuvent être informés des mots de passe et obtenir le texte clair.

Demandé el 16 de Mai, 2009 par Johannes K. Lehnert

Réponses

Trop de publicités?

2voto

Sjoerd avatar
Sjoerd Points 1815

Comme d'autres l'ont dit, votre politique et vos pratiques sont peu orthodoxes au mieux. L'Unlock Administrator mentionné précédemment semble être un bon compromis (sans jeu de mots). Votre objectif déclaré de connaître les mots de passe de vos utilisateurs est de fournir une assistance dans leur profil d'utilisateur Windows. Bien. Lorsque vos utilisateurs ont besoin d'assistance et doivent être ailleurs, demandez-leur de verrouiller leur poste de travail. Ensuite, avec Unlock Administrator, vous pouvez déverrouiller la station et rester dans leur profil utilisateur.

Vous perdez la possibilité de vous rendre à n'importe quel poste de travail, mais vous n'avez plus besoin de connaître son mot de passe. Cela semble être un bon compromis entre sécurité et facilité d'assistance.

Répondu el 7 de Juillet, 2009 par Sjoerd (1815 Points )

1voto

James Risto avatar
James Risto Points 1061

Microsoft a son produit ILM qui peut répliquer les mots de passe, peut-être vers un magasin LDAP étranger.

Répondu el 7 de Décembre, 2009 par James Risto (1061 Points )

1voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Prends L0phtcrack et lance-le contre le DC. Cela peut prendre des HEURES, mais il devrait être capable d'obtenir la plupart des mots de passe.

Je suis en fait tombé sur ce site parce que je cherchais la même chose, mais mes motivations pour connaître les mots de passe des utilisateurs sont très différentes.

Je suis en train de migrer la solution d'un ancien administrateur réseau qui utilisait IIS pour l'hébergement FTP de ses clients. Nous avons récemment découvert que notre ftp IIS avait été forcé par brute et hébergeait des spywares. Les mots de passe des utilisateurs n'étaient pas documentés et étaient simplement réinitialisés en cas d'oubli. Je passe donc à une autre solution (FileZilla) qui n'utilise pas AD. Je dois recréer tous ces comptes AD avec les mêmes mots de passe (à l'exception des comptes compromis) pour que la migration soit transparente pour les utilisateurs finaux. Comme il n'existe pas d'utilitaire de migration IIS pour FileZilla, mon seul espoir est de craquer les mots de passe des utilisateurs.

Je suis ouvert à toute suggestion sur la façon d'accomplir ceci sans craquer les mots de passe des utilisateurs.

Répondu el 22 de Avril, 2010 par Utilisateur non enregistré (0 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X