Bonjour tlm,

on a  créer un petit vbs (bien connu) pour changer le mdp admin local sur toutes les machines de notre parc (via GPO), le soucis etant qu'avec cette methode, ce mdp apparait en clair dans le script (ça on peut encore le planquer) mais surtout dans la bdr, donc aucun interet.

voici ce script :

Set objUser = GetObject("WinNT://./Administrateur,user";
objUser.SetPassword "mdp"
objUser.SetInfo

Y'a t'il une autre methode ? un freeware, ou bien un truc a changer au niveau du script ?
si quelqu'un peut m'aiguiller  

Salut,
comment ça se fait que ça apparait en clair dans la bdr ?!
tu peux en passant désactiver l'accès à la bdr à tes clients, ils n'ont rien a y faire

au niveau du script tu peux obscurcir le code histoire de le rendre bien illisible avec genre une petite fonction de cryptage maison qui rend la chose compliquée

salut darxmurf...
ouais pour la bdr t'as raison mais j'ai pas envie qu'un rigolo se serve d'un cd type password NT (sous nunux) et qu'il ait l'acces ne serait ce qu'un fois a la bdr pour le toper.... je te donnerai la clé mais ça apparait clairement avec ce script pourtant bien répandu.
Ma boite c'est que des informaticiens qui adorent ce genre de defis a la con, meme si ça peut conduire a du disciplinaire... mettre a l'amende l'IT, ca n'a pas de prix.
 
Pour l'instant on a recompilé le script en le "transformant" en exe... me demande pas comment je suis une quiche en scripting, c'est la partie de mon collegue.

Bah souvent les softs qui convertissent les script en exe, si tu ouvres l'exe avec notepad et que tu regardes un peu, tu trouveras le mot de passe

mais ouais je sais bien, c'est un petit truc supplementaire  
c'est quand meme dingue qu'il n'y ait pas une methode efficace connue pour deployer le mdp admin local, sans que ce soit facile de le retrouver...
je suis un peu en hallu.

bah un script machine avec le mdp dedans et tu met les droits ntfs qui vont bien pour l'accès au fichier (domain computers), ça limite qd même grandement. Sinon si toutes machines allumées, un psexec

De toute façon, avec une certaine distrib', tu peux même avoir le mot de passe de l'admin local en 5 min chrono.
Et dès que tu as accès à l'ordinateur, avec un lecteur cd, et tu es déjà "en danger".
Donc si tu pars du principe que tous tes utilisateurs sont super informaticiens & brigands en puissance .... faut pas leur mettre de pc !!!

non attend, extrapoles pas mes propos.. je disais juste que les gens ici sont tous "informaticien" et que certains aiment bien nous faire passer pour des cons, forcement on les bride (proxy, gpo, droits...)... donc des que ya faille et qu'ils peuvent nous la mettre dans la tronche...  
 
Maintenant si ils bootent sur une distrib linux pour reseter le mdp, c'est pas pareil, deja ils n'ont pas acces a leur cd (gpo), d'autre part ils resetent mais n'ont pas acces au mdp lui meme (et donc ne peuvent pas le communiquer... ce qui serait franchement emmerdant). Et dans ce cas ils sont carrement en faute.
 
Si ce mdp passe apparait dans la bdr et qu'ils y accedent, ils ne sont pas en faute.

[HS]
Ah bon et quelle distrib te permettent te récupérer le mot de passe admin?
Autant le réinitialiser pas de soucis, mais le récupérer en clair j'en doute ...
[HS]

exactly  

Sauf que ça fait pas avancer le schmililiblick

http://technet.microsoft.com/fr-fr [...] n-us).aspx

ouais c'est la soluce qu'a donné Je@nb, sauf qu'il faut que tous les pc soient allumés.. j'en ai 400, un peu lourd dingue a checker.

 
ophcrack : http://ophcrack.sourceforge.net/
 

protection du bios, bitlocker et roulez jeunesse

ouais mais pareil pour le bios... si faut que je me tape les 400 pc.

Bon j'ai vu avec mon collegue dev, il a recompilé en exe... d'apres lui si tu ouvres cet exe avec notpad ou autre c'est de l'hexa ou je ne sais quoi... et en plus il y a un mdp pour decompiler.
Donc bon cette soluce n'a l'air pas si mal finalement...
 
Si' l'un de nos collaborateurs trouvent, c'est que vraiment ya une volonté de hacker (au meme titre que de booter sur une distrib pour reset le mdp) et la il joue gros.

Si tu convertis l'hexa en ASCII tu verras des lettres. Après faut voir, ça peut être un peu protéger. Et rien n'empêche de désassembler.
 
Ouvre ton exe avec notepad déjà, tu auras déjà un indice

non mais je t'ai dit "hexa" mais je suis pas sur que ce soit vraiment ça... ouep je vais tester.

il est possible de faire celà en utilisant les gpo preferences.
Cela implique d'installer au préalable les extensions sur les postes clients.
 
http://social.technet.microsoft.co [...] 812dfe073/
 
C'est la méthode 1 qu'il faut choisir, avec gpo prefs, pas la version scriptée (qui correspond a ce dont vous parlez plus haut).

ouais ça a l'air assez puissant !
mais faut aussi l'installer sur nos DC j'imagine ? ça risque d'etre plus dur pour moi ça car j'ai pas la main sur le systeme de nos DC. Je suis juste admin de mon OU.
Merci quand meme, c'est interressant....

oui il faut installer l'extension sur ton DC si c'est un windows 2003, sur du 2008 c'est de base.
 
Ca vaut le coup de demander l'install sur ton DC, ca permet des petites choses sympa (du genre monter les lecteurs réseau sans passer par du script, avec des conditions par user / pc / etc).

ouais mais ça c'est pas gagné, c'est administrer en amont par des ricains et ça veut dire le faire sur tout les DC, y'en a un paquet... le temps que ce soit approuvé... on sera deja passé en 2008  

arf ok .. dommage ... c'est juste un patch a installer en plus.

je vais en parler quand meme... on verra bien...merci.

C'est pas le fait de voir le mdp qui serait grave, c'est de s'en servir pour nuire à quelquechose ou détourner un usage prévu par ta société. On peut très bien avoir un mot de passe administrateur, mais du moment que les personnes ne s'en servent pas, il n'y a pas de réel danger en soi. Mais s'il utilise ce mdp pour aller là où ils n'ont pas le droit d'aller, forcément là ils sont en faute. Mais avec ophcrack, tu as le ou les comptes locaux assez rapidement. Mais n'oublie pas que la GPO n'est qu'une fois qu'on entre dans Windows, là il s'agit de booter dessus.
(donc réglage dans le bios pour booter dessus, et on zappe la GPO, les doigts dans le nez   )
J'avoue quand même que ce logiciel est très bien dans de bonnes mains ... mais peut être très néfaste aussi dans de mauvaises mains. (mais quelque part, tu n'as que le DL, le graver, et basta, c'est à la portée de tout le monde, suffit juste de connaitre le soft   )
 

J'oubliais
 Tu peux très bien le mettre en clair dans la BDR, et interdire le menu executer voir même la commande regedit pour tous les users concernés, ca me semble plus simple par ce biais.

bah ça reste qu'un mdp local.. a part installer des conneries, c'est pas "dangereux". C'est plus un pb moral finalement, et on se doit, nous, d'etre un minimum crédible (mdp en clair, ça la fout mal quand meme)
Et surtout j'ai pas envie que mon chef me demande de trouver des preuves parce qu'un blaireau s'est fait chopper.
Sinon oui pour le cd, effectivement je n'y avait pas penser, ça reste quand meme une action apparentée a du piratage.

Pour la bdr oui on pourrait la bloquer mais ils en ont besoin (ils font du support technique et parfois doivent retrouver des clés, pour guider leur client) donc bon...

Ya un historique assez specifique, dans ma boite ou c'etait "open bar" avant que mon chef prenne les commandes... Du coup bah les gens ont un peu la haine (dumoins les anciens)...
plus de toshop12, plus de divx, itunes.....plus de bidouilles (et donc on ghostait tous les 4 matins). Pas facile a digerer.

je suis en train de choper l'iso d'ophcrack, histoire de voir....

Pense aussi à tes loisirs, etc .... parfois ca fait du bien de ne pas penser au boulot à partir d'une certaine heure

lol j'ai laché l'affaire a 19:40... toi a 20:56 t'etais toujours dans la place !  

pour ophcrack a priori les versions gratuites ne prennent pas en compte les caractères speciaux... hors, nous, on oblige a en mettre.
La version qui les prend en compte est payante et pese 7.5go (donc dvd), ça complique encore un peu l'histoire pour mes eventuels crackeurs en herbe.

a+

bof suffit de te faire ta rainbow table