Détecter mot de passe ou non dans un domaine Win2K - Windows & Software
Marsh Posté le 22-03-2004 à 13:12:02
C't'une bonne question ça. A mon avis, il va falloir farfouiller dans les logiciels de hacking. Mais j'en connais pas
Marsh Posté le 22-03-2004 à 13:14:21
superpingu a écrit : Hello everybody, |
tu as defini uniquement la complexité ? ou complexite + renouvellement ?
Marsh Posté le 22-03-2004 à 17:22:12
j'ai seulement défini mots de passe de 4 caractères minimum avec historique de 1 mot de passe.
Marsh Posté le 23-03-2004 à 09:43:44
tu peux forcer la périodicité, comme ca tu es sur que les gens le changeront et que leur prochain mot de passe soit en accord avec tes nouvelles regles.
un mdp à beau etre complexe s'il est pas changé regulierement ca sert à rien.
Marsh Posté le 23-03-2004 à 11:20:05
Ouais ouais je suis bien d'accord avec toi mais ne crois tu pas qu'il serait plus simple de savoir quels users ne se servent pas de mot de passe et forcer ces derniers a changer de mot de passe a la prochaine ouverture de session, plutot que de mettre un delai d'expiration qui va affecter tt le monde (au moins dans un premier temps, ceci dit par la suite je te suis sur le fait de faire changer les mots de passes regulierement).
C'est pour ca que je voulais savoir sil existe un truc pour savoir quels users en ont et lesquels n'en ont pas.
Sinon je vais faire comme tu me le conseil mais bon ceux qui viennent de changer de mot de passe vont gueuler et sur + de 200 users je sens qu'ils vont me gonfler...
Marsh Posté le 23-03-2004 à 19:37:37
ben en solution plus ou moins legale, tu as John The Ripper.
Marsh Posté le 24-03-2004 à 10:59:47
"détecter" un mot de passe vide ? ça revient à dire cracker les mots de passe
non, la solution c'est de cocher la case "l'utilisateur doit changer de mot de passe à la prochaine ouverture de session" sur tous les utilisateurs avec la GPO pour la complexité activée
tu le fais une bonne fois pour toutes.
ps : l'utilisation d'un programme de hack pour ça, je trouve ça dangereux, si tu tombes sur une version truffée t'auras l'air malin
Marsh Posté le 24-03-2004 à 11:23:59
Ouais je suis d'accord avec toi mai sje veux pas forcément utilisé un prog de hack a proprement parler en fait moi je m'en tape de connaitre leur mot de passe tt ce qui m'intéresse c'est de savoir sil y a ou non mot de passe sur tel ou tel user.
On m'a conseillé d'utilisé CAIN & ABEL ca a l'air super puissant mais le truc c'est que c'est un bordel innommable donc si quelqu'un connait un peu et qu'il puisse m'orienter.
Ce serait bien aimable !!
Marsh Posté le 24-03-2004 à 11:37:12
lol, mais réfléchis : si tu veux savoir si un mot de passe est vide, il te faut connaître ce mot de passe...
les mots de passe NT c'est pas des étoiles que tu peux compter dans un fichier hein... c'est un ptit peu crypté quand même
Marsh Posté le 24-03-2004 à 12:22:33
ont pourrait essayer de changer le mdp de tout les utilisateurs en precisant comme mdp actuel et nouveau mdp un mdp vide, si ca fonctionne c que le mot de passe est vide, sinon c que c ok.
par script ont peut autmatiser le truc et faire que chaque user qui a un mdp vide doit changer de mdp a la prochaine ouverture de session.
a condition de virer le "enforce password history" le temps d'executer le script evidemment.
Marsh Posté le 24-03-2004 à 12:34:18
sinon y'a aussi les logiciels de "password auditing and recovery" comme ils disent, genre LC4.
ca marche du tonerre de dieux ce truc, je l'avais utilisé sur des serveurs en workgroup avec un petit nombre d'utilisateurs avant de migrer en AD, tres efficace, et il te liste les mdp vide en 1 eclair.
par contre pas sur que ca fonctionne avec AD d'installé, peut etre en l'installant en local sur le server, je n'ai pas testé.
http://www.atstake.com/products/lc/ a voir si la version eval est suffisante ou pas, sinon c pas tres cher a peine 350euros :x
Marsh Posté le 24-03-2004 à 12:40:30
en surpuissant pour ce genre de choses, tu as aussi l'excellent LANguard Network Security Scanner
Marsh Posté le 24-03-2004 à 14:32:41
la reponse a ta question je penses est Baseline security analyser.
apres l'install tu met l'adresse ip de ton serveur, il te fournira toutes les MAJ manquantes ainsi que les pb de scurité entre autre les comptes utilisateur sans mot de passe.
Voila.
[url]
http://www.google.fr/search?q=cach [...] r&ie=UTF-8[/url]
Marsh Posté le 24-03-2004 à 14:39:55
malheureusement MBSA ne fonctionne pas sur les DC, du moins pour les soucis de securité liés aux mdp.
Marsh Posté le 24-03-2004 à 22:45:30
Mais si on le lance depuis un pc client, se trouvant ds un domaine quelconque (ou meme ds le meme domaine) et ensuite mettre l'adresse ip du dc, ça devrait fonctionner non ?
Marsh Posté le 24-03-2004 à 23:03:56
non, j'ai testé le rapport dit exactement "password checks are not performed on a domain controller"
Marsh Posté le 25-03-2004 à 16:55:44
essaye une eval version de Languard, tu vas voir comme c'est puissant
http://www.gfi.com/downloads/downl [...] id=8&lid=1
en francais si besoin
http://www.gfsfrance.com/downloads [...] id=8&lid=4
Marsh Posté le 26-03-2004 à 13:00:53
vos programmes "surpuissants" ne font que du scan de base SAM...
un DC W2K n'a pas de base SAM, mais une base d'annuaire
il faut du LDAP pour la consulter, et une authentification par Kerberos, j'ai hâte de voir comment vos progs vont faire ça
Marsh Posté le 22-03-2004 à 10:17:12
Hello everybody,
Je veux imposer des mots de passe pour tous les users de mon domaine win2K, j'ai donc défini une GPO sur le domaine ca marche ya pas de probleme mais par contre je voudrais savoir si quelqu'un connait un soft qui permette de detecter quels users utilisent des mots de passe et lesquels n'en utilisent pas, afin que je ne force le changement de mot de passe a la prochaine ouverture de session que pour les users qui n'en ont pas.
Merci d'avance