Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1831 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Récupérer mots de passe Internet Explorer de 2008 R2 vers 2016

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Récupérer mots de passe Internet Explorer de 2008 R2 vers 2016

n°164570
rom-16
Posté le 05-08-2019 à 09:48:49  profilanswer
 

Bonjour à tous,  
 
Dans le cadre d'une migration de plateforme Citrix vers VMware Horizon, je souhaiterais récupérer (de préférence automatiquement via un script !) les mots de passe Internet Explorer des utilisateurs. Actuellement, notre plateforme Citrix est sous Server 2008 R2, et notre plateforme Horizon sous Server 2016.  
 
Après beaucoup de recherches, j'ai trouvé que les mots de passe étaient stockés uniquement dans le registre (HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\IntelliForms\Storage2), et rien dans AppData comme j'ai pu le lire. Le problème, c'est qu'il est impossible de les réinjecter tel quel dès que l'utilisateur se connecte pour la première fois sur le 2016, vu qu'Internet Explorer n'enregistre plus les mots de passe dans le registre, mais dans Windows Vault. Du peu d'informations que j'ai trouvé sur le sujet, le hachage des données entre ces deux versions d'OS non plus rien à voir, donc impossible de transférer quoi ce soit dans tous les cas.  
 
Y'a t'il une solution (logicielle ou autre) pour les récupérer ou c'est forcément perdu ?  
 
Merci de vos réponses :)

mood
Publicité
Posté le 05-08-2019 à 09:48:49  profilanswer
 

n°164582
Erlum
Posté le 06-08-2019 à 08:46:30  profilanswer
 

J'y connais honnêtement pas grand chose à Windows, mais si les hashs ne sont plus générés de la même manière, tu devras forcément commencer par obtenir les mots de passe en clair si tu veux faire ce que tu souhaites. J'ai du mal à voir comment tu peux faire ça sans avoir accès à la session de l'utilisateur, et encore plus à voir comment tu peux l'automatiser ?

n°164587
rom-16
Posté le 06-08-2019 à 10:56:46  profilanswer
 

Erlum a écrit :

J'y connais honnêtement pas grand chose à Windows, mais si les hashs ne sont plus générés de la même manière, tu devras forcément commencer par obtenir les mots de passe en clair si tu veux faire ce que tu souhaites. J'ai du mal à voir comment tu peux faire ça sans avoir accès à la session de l'utilisateur, et encore plus à voir comment tu peux l'automatiser ?


 
Des logiciels permettent de récupérer les mots de passe en clair, mais ce n'est pas automatisé, puis impossible de les remettre automatiquement dans le Windows Vault de Server 2016.  Certes c'est toujours mieux que rien, mais c'est quand même dommage que Microsoft n'est rien prévu en cas de migration, surtout qu'on parle d'Internet Explorer 11 dans les deux cas.  
 
Pour l'instant, je suis parti à faire générer manuellement à l'utilisateur un fichier texte, en clair, avec tous les mots de passe dedans.

n°164588
Erlum
Posté le 06-08-2019 à 11:06:19  profilanswer
 

rom-16 a écrit :


 
Des logiciels permettent de récupérer les mots de passe en clair, mais ce n'est pas automatisé, puis impossible de les remettre automatiquement dans le Windows Vault de Server 2016.  Certes c'est toujours mieux que rien, mais c'est quand même dommage que Microsoft n'est rien prévu en cas de migration, surtout qu'on parle d'Internet Explorer 11 dans les deux cas.  
 
Pour l'instant, je suis parti à faire générer manuellement à l'utilisateur un fichier texte, en clair, avec tous les mots de passe dedans.


 
 :o  
 
Vous avez pas un password manager ?

n°164589
rom-16
Posté le 06-08-2019 à 11:24:38  profilanswer
 

Erlum a écrit :


 
 :o  
 
Vous avez pas un password manager ?


 
Si évidemment qu'on a un password manager.  
Cela ne change pas le fait que l'utilisateur (ou moi  :o ), on doit rentrer tout le contenu à la main.

n°164591
peperonie0​6
Posté le 06-08-2019 à 12:48:04  profilanswer
 

salut
 
je ne sais pas si ça peut t'aider
mais j'ai ça pour récupérer les mots de passe
 
[Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]
 
(new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-object -Property username | %{$_.RetrievePassword(); $_ } |
Select-Object -Property username, password, resource | add-Content c:\testresultat.txt

n°164592
rom-16
Posté le 06-08-2019 à 15:37:14  profilanswer
 

peperonie06 a écrit :

salut
 
je ne sais pas si ça peut t'aider
mais j'ai ça pour récupérer les mots de passe
 
[Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]
 
(new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-object -Property username | %{$_.RetrievePassword(); $_ } |
Select-Object -Property username, password, resource | add-Content c:\testresultat.txt


 
Tout est bon à prendre en tout cas  :jap:  
 
De ce que j'en lis, il récupère les mots de passe venant de Windows Vault. Me confirme-tu que tu exécute ce script que dans un environnement Windows 2012R2/2016/8.1/10 et non pas sur du Windows 2008R2/2012/7/8.1 ?

n°164593
nebulios
Posté le 06-08-2019 à 16:25:10  profilanswer
 

Mais quel genre de mots de passe veux-tu récupérer ? Pour de bêtes raisons de sécu j'éviterai toute manip de ce type et je m'appuierai sur du SSO.

n°164594
peperonie0​6
Posté le 06-08-2019 à 16:31:44  profilanswer
 

je récupère les mots de passe sur Windows 7 et 10 avec ce script
pour le reste, aucune idée
a tester xD

n°164595
nebulios
Posté le 06-08-2019 à 16:33:04  profilanswer
 

Mais c'est quoi l'intérêt ? Des connexions à des sites externes ?

mood
Publicité
Posté le 06-08-2019 à 16:33:04  profilanswer
 

n°164596
peperonie0​6
Posté le 06-08-2019 à 16:35:55  profilanswer
 

quand tu fais la migration de windows 7 à 10
pour que les utilisateurs récupèrent leurs mots de passe enregistré dans le navigateur (ici c'est pour IE) depuis des années et qu'ils les auraient oubliés

n°164597
nebulios
Posté le 06-08-2019 à 16:41:53  profilanswer
 

Tu vas donc reproduire une faille de sécu sur une infra toute neuve ? Super idée
Vous n'avez pas prévu de SSO dans votre nouvelle infra ?

n°164598
peperonie0​6
Posté le 06-08-2019 à 16:46:56  profilanswer
 

on a deja du SSO pour les outils métier, mais pas pour tout
et puis c'est pas ça la question
 
et tu vas encore dire de réunir les responsables pour changer tout ça?

n°164599
rom-16
Posté le 06-08-2019 à 16:54:46  profilanswer
 

nebulios a écrit :

Mais quel genre de mots de passe veux-tu récupérer ? Pour de bêtes raisons de sécu j'éviterai toute manip de ce type et je m'appuierai sur du SSO.


 
Tout les mots de passe qu'Internet Explorer a enregistré jusqu'à présent.  
 
On a actuellement SSOX, et faut déclarer le site qu'on souhaite enregistrer ... pour qu'il l'enregistre !  
Si tu as un bon logiciel, payant ou non, à me recommander, je suis preneur.  
 

peperonie06 a écrit :

je récupère les mots de passe sur Windows 7 et 10 avec ce script
pour le reste, aucune idée
a tester xD


 
Je vais tester oui. Je te ferais un retour.  
 

nebulios a écrit :

Mais c'est quoi l'intérêt ? Des connexions à des sites externes ?


 
Dont les utilisateurs connaissent même plus leurs identifiants, et encore moins leur mot de passe.
Et dont aucun souvent même pas qu'ils se servent de cette plateforme.  
 

nebulios a écrit :

Tu vas donc reproduire une faille de sécu sur une infra toute neuve ? Super idée
Vous n'avez pas prévu de SSO dans votre nouvelle infra ?


 
Le problème du SSO, c'est que cela enregistre tout, même si l'utilisateur va sur des sites perso, c'est là que cela devient plus compliqué. Meme si ils sont pas sensé le faire :o  

n°164600
Je@nb
Modérateur
Kindly give dime
Posté le 06-08-2019 à 17:50:26  profilanswer
 

C'est simple, tu migres pas les mots de passe.
Le mec fait un reset de mot de passe ou contacte le support s'il a besoin.
Problem solved

n°164611
nebulios
Posté le 07-08-2019 à 15:46:56  profilanswer
 

rom-16 a écrit :


 
Tout les mots de passe qu'Internet Explorer a enregistré jusqu'à présent.  
 
On a actuellement SSOX, et faut déclarer le site qu'on souhaite enregistrer ... pour qu'il l'enregistre !  
Si tu as un bon logiciel, payant ou non, à me recommander, je suis preneur.  
 


Si c'est pas du pro tu t'en fous, ça pourrait même te mettre en défaut vis-à-vis de a RGPD.

n°164623
rom-16
Posté le 08-08-2019 à 17:01:28  profilanswer
 

Je@nb a écrit :

C'est simple, tu migres pas les mots de passe.
Le mec fait un reset de mot de passe ou contacte le support s'il a besoin.
Problem solved


 
Si c'était si simple :o
 
J'ai de nombreux cas d'utilisateurs qui vont sur des sites, depuis des années, qui seraient incapables de te dire leurs noms, alors imagine leurs identifiants/mots de passe.  
En plus du fait d'ignorer qu'ils utilisent certains sites, donc aucune information sur le support, ni sur la façon de reset leur mot de passe.  
Cela sera l'occasion de faire un gros ménage, même si j'aurais préféré éviter.  
 

nebulios a écrit :


Si c'est pas du pro tu t'en fous, ça pourrait même te mettre en défaut vis-à-vis de a RGPD.


 
C'est sensé être que du pro pour tout le monde. Mais y'a forcément quelques cas qui doivent bien s'en servir pour du perso.

n°164663
Wolfman
Modérateur
Lobo'tomizado
Posté le 12-08-2019 à 15:26:40  profilanswer
 

Sauvegarder les mots de passe dans le navigateur est déjà en soit une mauvaise pratique. Ne les reprend pas, vraiment.

n°164683
rom-16
Posté le 13-08-2019 à 11:02:29  profilanswer
 

peperonie06 a écrit :

salut
 
je ne sais pas si ça peut t'aider
mais j'ai ça pour récupérer les mots de passe
 
[Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]
 
(new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-object -Property username | %{$_.RetrievePassword(); $_ } |
Select-Object -Property username, password, resource | add-Content c:\testresultat.txt


 
Ton script fonctionne bien sous 2012 R2/2016, mais pas sous 2008 R2 qui affiche un beau message d'erreur :  
 
Type [Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials, ContentType=WindowsRuntime] introuvable : assurez-vous que l’assembly contenant ce type  
est chargé.
Au caractère C:\Users\toto\Desktop\export_motdepasse.ps1:4 : 1
+ [Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,Content ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation : (Windows.Securit...=WindowsRuntime:TypeName) [], RuntimeException
    + FullyQualifiedErrorId : TypeNotFound
 
new-object : Le type [Windows.Security.Credentials.PasswordVault] est introuvable : vérifiez que l'assembly dans lequel il se trouve est chargé.
Au caractère C:\Users\toto\Desktop\export_motdepasse.ps1:6 : 2
+ (new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-obj ...
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidType: (:) [New-Object], PSArgumentException
    + FullyQualifiedErrorId : TypeNotFound,Microsoft.PowerShell.Commands.NewObjectCommand
 

Wolfman a écrit :

Sauvegarder les mots de passe dans le navigateur est déjà en soit une mauvaise pratique. Ne les reprend pas, vraiment.


 
C'est une mauvaise pratique, sans aucun doute là dessus. Le problème, c'est que sans solution technique, le service support va se prendre énormément d'appels, sans solution non plus, vu qu'on a pas de liste de ce qu'ils peuvent utiliser. Mais on se dirige de toute façon vers cette situation.

n°164684
skoizer
tripoux et tête de veau
Posté le 13-08-2019 à 11:24:31  profilanswer
 

bonjour,
escusez moi d'y mettre ma sauce.
chez nous : nous avons une gpo qui interdit la sauvegarde des mots de passe sous IE.
Nous l'avons indiqué dans notre charte.
 
Car si on suit l'anssi, ce n'est pas une bonne pratique.
https://www.ssi.gouv.fr/guide/mot-de-passe/
 
 
rom-16 si j'etais a ta place, je communiquerai sur cela aupres des utilisateurs.
en indiquant que le nouveau systéme ne sauvegardera pas les mots de passe, tu met le logo de l'anssi, ça permet de calmer les velléités de certains. Tu indique aux utilisateurs comment recuperer leur mot de passe. et tu met le script qui sauvegarde sur leur homeshare (mais faut trouver le script :( )

Message cité 1 fois
Message édité par skoizer le 13-08-2019 à 11:25:00

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°164685
nebulios
Posté le 13-08-2019 à 11:27:06  profilanswer
 

rom-16 a écrit :


 
C'est une mauvaise pratique, sans aucun doute là dessus. Le problème, c'est que sans solution technique, le service support va se prendre énormément d'appels, sans solution non plus, vu qu'on a pas de liste de ce qu'ils peuvent utiliser. Mais on se dirige de toute façon vers cette situation.


Suffit de communiquer là-dessus au préalable. En rappelant que le support n'est pas là pour dépanner les incidents non professionnels...

n°164687
Wolfman
Modérateur
Lobo'tomizado
Posté le 13-08-2019 à 11:36:19  profilanswer
 

+1 pour la communication en amont, et même des rappels si besoin. Ca éliminera au moins 90% des boulets. Il y en aura toujours quelqu'uns qui appelleront parce qu'ils ont perdus leur mot de passe avec l'excuse "ah bah non j'ai pas lu vos mails, c'était pas important", mais tu auras éliminé la plus grosse partie.

n°164690
rom-16
Posté le 14-08-2019 à 09:54:45  profilanswer
 

skoizer a écrit :

bonjour,
escusez moi d'y mettre ma sauce.
chez nous : nous avons une gpo qui interdit la sauvegarde des mots de passe sous IE.
Nous l'avons indiqué dans notre charte.
 
Car si on suit l'anssi, ce n'est pas une bonne pratique.
https://www.ssi.gouv.fr/guide/mot-de-passe/
 
 
rom-16 si j'etais a ta place, je communiquerai sur cela aupres des utilisateurs.
en indiquant que le nouveau systéme ne sauvegardera pas les mots de passe, tu met le logo de l'anssi, ça permet de calmer les velléités de certains. Tu indique aux utilisateurs comment recuperer leur mot de passe. et tu met le script qui sauvegarde sur leur homeshare (mais faut trouver le script :( )


 
Tous les avis est bon à prendre de mon coté :jap:  
 
Jusqu'à interdire la sauvegarde des mots de passe, cela ne passera jamais après de mes collègues/supérieurs, car la diversité des utilisateurs et du nombre de sites qu'on gère, fait que cela sera trop compliqué à gérer. Déjà qu'on passe officiellement d'Internet Explorer à Chrome, cela fait déjà un gros changement, et on va avoir beaucoup d'appels sur le sujet. Je récupère juste les mots de passe et les favoris, le reste n'est pas gardé sur Chrome/Internet Explorer.  
 

nebulios a écrit :


Suffit de communiquer là-dessus au préalable. En rappelant que le support n'est pas là pour dépanner les incidents non professionnels...


 

Wolfman a écrit :

+1 pour la communication en amont, et même des rappels si besoin. Ca éliminera au moins 90% des boulets. Il y en aura toujours quelqu'uns qui appelleront parce qu'ils ont perdus leur mot de passe avec l'excuse "ah bah non j'ai pas lu vos mails, c'était pas important", mais tu auras éliminé la plus grosse partie.


 
Meme si je communique dessus, je peux espérer à 20/30% de lecture au grand maximum. Par contre, des rappels peut améliorer le nombre de lectures.  
 
Tout le problème, c'est que je ne connais n'y l'impact, n'y la répercussion que cela peut avoir, et cela peut vite mal tourner. Je vais de toute façon mettre au courant l'intégralité de mes responsables, pour que cela me retombe pas dessus, et que tout le monde garde un avis similaire. Car en terme de mauvaises habitudes chez les utilisateurs, j'ai du haut niveau ...  
 
 

n°164691
skoizer
tripoux et tête de veau
Posté le 14-08-2019 à 11:00:45  profilanswer
 

bonjour,
la sécurité. ... c'est des contraintes
mais si tu explique a tes supérieurs la note de l'anssi  https://www.ssi.gouv.fr/guide/mot-de-passe/  
ils ne pourront l'ignorer.
ce probléme, tu l'auras a chaque migration de système


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°164692
nebulios
Posté le 14-08-2019 à 11:07:23  profilanswer
 

rom-16 a écrit :


 
Tous les avis est bon à prendre de mon coté :jap:  
 
Jusqu'à interdire la sauvegarde des mots de passe, cela ne passera jamais après de mes collègues/supérieurs, car la diversité des utilisateurs et du nombre de sites qu'on gère, fait que cela sera trop compliqué à gérer. Déjà qu'on passe officiellement d'Internet Explorer à Chrome, cela fait déjà un gros changement, et on va avoir beaucoup d'appels sur le sujet. Je récupère juste les mots de passe et les favoris, le reste n'est pas gardé sur Chrome/Internet Explorer.  
 


Mais c'est votre solution technique qui n'est pas adaptée. Si tu as besoin de gérer l'authentification sur un grand nombre de sites, tu fais du SSO, pas de la sauvegarde de mots de passe. Si vous n'avez pas le budget pour ça il faut alerter là-dessus et lister les risques et impacts.
Sans compter que tu vas rattraper un gap de dix ans avec ta migration, donc il y aura forcément des œufs cassés. C'est aussi le prix à payer pour attendre aussi longtemps entre deux migrations.

n°164695
rom-16
Posté le 14-08-2019 à 12:00:33  profilanswer
 

nebulios a écrit :


Mais c'est votre solution technique qui n'est pas adaptée. Si tu as besoin de gérer l'authentification sur un grand nombre de sites, tu fais du SSO, pas de la sauvegarde de mots de passe. Si vous n'avez pas le budget pour ça il faut alerter là-dessus et lister les risques et impacts.
Sans compter que tu vas rattraper un gap de dix ans avec ta migration, donc il y aura forcément des œufs cassés. C'est aussi le prix à payer pour attendre aussi longtemps entre deux migrations.


 
La solution actuelle n'a pas évoluée depuis début 2011, donc autant dire que oui il va y avoir beaucoup d’œufs cassés, dont des sujets qu'on ne pense même pas. Cela dit, c'était assumé par la DSI et la direction de rien changer, mais maintenant, c'est très urgent de migrer.  
 
Pour le SSO, faut changer de produit, vu que notre actuel n'est adapté. En plus, certains pourraient justement pallier à mon problème de mots de passe Internet Explorer, vu qu'ils sont capables de gérer plusieurs OS/version à la fois. Mais cela demande un certain temps à mettre en place, que je n'ai hélas pas.

n°164711
skoizer
tripoux et tête de veau
Posté le 16-08-2019 à 12:22:54  profilanswer
 

bonjour,
rom-16
va lire cet article
par pour le coté "porno"
https://www.lemonde.fr/pixels/artic [...] 08996.html
 
mais le stockage des login et mot de passe n'est pas sécurisé sur les navigateurs. Il semble que cela soit particulièrement ciblé.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Récupérer mots de passe Internet Explorer de 2008 R2 vers 2016

 

Sujets relatifs
crasch de mon systeme d'exploitation windows server 2012 R2Connexion internet qui se coupe
fichiers syncho. sur domaine inaccessibles hors internetSessions automatiques démarrage Windows Server 2012 r2
Mise en place d'un mot de passe BitLocker au Démarrage du postePassage Windows 10 build 1709 vers 1809
Serveur RDS et AD sur 2016 serveurtest migration vers Exchange online
Problème déconnexion Internet 
Plus de sujets relatifs à : Récupérer mots de passe Internet Explorer de 2008 R2 vers 2016


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR