Changer un mot de passe local a distance ET en sécurité

Le
abaratin
Salut à tous,

Je cherche depuis plusieurs jour une solution pour "déployer" un mot d
epasse local sur chaque machine de mon réseau. Je travaille sous
server 2003 et XP.

J'ai vu énormément de solutions pour le faire mais pour toutes ces
solutions le mot de passe est transmis en clair sur le réseau. Ces
solutions ne peuvent donc pas être retenues.

En fait la seule méthode valable consiste à aller dans la gestion de
l'ordinateur, de là de se connecter à un autre ordinateur, puis dans
outils système/Utilisateurs et groupes locaux de changer le mot de
passe.

J'ai sniffé sur le réseau ce procédé et il est impossible de voir l=
e
mot de passe. Par contre il faut en gros 20 clics et 5min pour changer
le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je
vois pas trop comment je pourrais automatiser ce procédé.

L'autre piste que j'ai fait rapport au fichiers de réponse que l'on
créée pour automatiser les installs de Windows (pour RIS ou pour un CD
PE). On peut mettre le mot de passe admin local et il est encrypté
dans le fichier de réponse (si on a coché la case). Par contre je ne
veux pas non plus réinstaller mes 300 PC parce que là il y en aurait
pour encore plus longtemps de boulot. Il faudrait juste trouver un
moyen de balancer ce hash du mot de passe par le réseau et que Windows
sache que c'est un hash (dans le fichier de réponses il y a
EncryptedPassword=Yes)

Bref ma question est: Quelqu'un connait il un moyen de changer ces
mots de passe locaux à distance et de manière sécurisée (c'est à =
dire
que le mdp n'est pas stocké et ne transite pas en clair)

Je prends toutes les idées et les suggestions !

Merci et bonne soirée.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH [Bis IT]
Le #20274561
Bonjour,

petit retour d'expérience de mon côté.
Chez l'un de mes clients, nous avions le même besoin (ainsi que mettre à
jour un certain nombre de corrections) et avons développé un petit système
client (en autoIT) / serveur (PHP-MySQL) avec petite conception d'un algo
maison.
Globalement, le client allait se connecter a sa page dédiée sur le serv, et
récupérait de manière encrypté (algo pondu par nous même) une suite de
caractères qui, après décryption correspondaient au mot de passe (puis net
user Machineadministrateur password), paramètrs réseaux etc...

De manière plus basique, pourquoi ne pas diffuser par le réseau (psexec,
script de logon, GPO...) un petit script AutoIT compilé (et crypté
nativement) qui contient ton changement de password et est supprimé à la
volée après opération?
Si tu ne souhaite pas de stockage du tout, tu peux aussi utiliser ce script
pour se connecter à une page web lire un certain nombre de caractères
(bidouillés par décallages et incrémentation), les concaténer pour obtenir
le password et le changer ne local.

Bon courage à toi!

Cordialement,
--
Jonathan BISMUTH
Bis IT
MVP Windows Server - Directory Services
http://www.bis-it.fr
http://blog.portail-mcse.net

"abaratin"
Salut à tous,

Je cherche depuis plusieurs jour une solution pour "déployer" un mot d
epasse local sur chaque machine de mon réseau. Je travaille sous
server 2003 et XP.

J'ai vu énormément de solutions pour le faire mais pour toutes ces
solutions le mot de passe est transmis en clair sur le réseau. Ces
solutions ne peuvent donc pas être retenues.

En fait la seule méthode valable consiste à aller dans la gestion de
l'ordinateur, de là de se connecter à un autre ordinateur, puis dans
outils système/Utilisateurs et groupes locaux de changer le mot de
passe.

J'ai sniffé sur le réseau ce procédé et il est impossible de voir le
mot de passe. Par contre il faut en gros 20 clics et 5min pour changer
le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je
vois pas trop comment je pourrais automatiser ce procédé.

L'autre piste que j'ai fait rapport au fichiers de réponse que l'on
créée pour automatiser les installs de Windows (pour RIS ou pour un CD
PE). On peut mettre le mot de passe admin local et il est encrypté
dans le fichier de réponse (si on a coché la case). Par contre je ne
veux pas non plus réinstaller mes 300 PC parce que là il y en aurait
pour encore plus longtemps de boulot. Il faudrait juste trouver un
moyen de balancer ce hash du mot de passe par le réseau et que Windows
sache que c'est un hash (dans le fichier de réponses il y a
EncryptedPassword=Yes)

Bref ma question est: Quelqu'un connait il un moyen de changer ces
mots de passe locaux à distance et de manière sécurisée (c'est à dire
que le mdp n'est pas stocké et ne transite pas en clair)

Je prends toutes les idées et les suggestions !

Merci et bonne soirée.
Lotre
Le #20278171
Salut,

Pour ma part, dans une situation analogue
( changement des mots de passe des administrateurs locaux)
j'utilise un petit exécutable fait maison
lancé au démarrage (par GPO machine)
Ce prgm prend les infos (nouveaux mots de passe)
et journalise les résultats
dans un partage du serveur
qui n'est accessible qu'aux admins du domaine
et aux "Ordinateurs du domaine"
Je peux donc en plus repérer ainsi les stations problématiques
( stratégies mal appliquées)
puisqu'elle sont absentes des compte-rendus.

D'un point de vue "sécurité" cela m'a semblé suffisant
( je ne travaille pas à la CIA)

HB
Tib00n
Le #20278591
On 2 oct, 16:04, "Lotre"
Salut,

Pour ma part, dans une situation analogue
( changement des mots de passe des administrateurs locaux)
j'utilise un petit exécutable fait maison
lancé au démarrage (par GPO machine)
Ce prgm prend les infos (nouveaux mots de passe)



C'est à dire? les mdp sont aussi sur un partage? ou ils sont dans ton
script?

et journalise les résultats
dans un partage du serveur
qui n'est accessible qu'aux admins du domaine
et aux "Ordinateurs du domaine"
Je peux donc en plus repérer ainsi les stations problématiques
( stratégies mal appliquées)
puisqu'elle sont absentes des compte-rendus.

D'un point de vue "sécurité" cela m'a semblé suffisant
( je ne travaille pas à la CIA)



Moi non plus :)
Cependant, dans les solutions que j'ai vues, ce qui me gène c'est que
le mot de passe transite en clair sur le réseau bref si quelqu'un
sniffe les trames qui passent sur mon réseau il a les mots de passe.
je suppose que certains petits malins y ont déja pensé et que donc des
trojans ou autres doivent chercher à attraper ces mdp. Ou bien encore
des utilisateurs (certes très expérimentés) qui branchent une clé U SB
avec wireshark portable pourraient ainsi utiliser leur machine en
admin...

Ok, je me base sur des suppositions mais de mon point de vue les mots
de passe admins doivent faire l'objet de la plus grande prudence.


HB


Publicité
Poster une réponse
Anonyme