Compte vérouillé

Le
jlb59
Bonjour

Je rencontre un probléme avec un utilisateur dont le compte se vérouille
seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du
domaine et curieusement dans l'observateur d'événement du DC j'ai souvent des
messages d'ouverture et de fermeture de session alors que l'utilisateurs ne
ferme pas sa session??

Meric pour vos réponses
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #562235
Bonjour,

depuis son compte:
Démarrer / Exécuter / control keymgr.dll

Il a dû enregistré son mot de passe et le changer ensuite.

Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"jlb59" news:
Bonjour

Je rencontre un probléme avec un utilisateur dont le compte se vérouille
seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du
domaine et curieusement dans l'observateur d'événement du DC j'ai souvent
des
messages d'ouverture et de fermeture de session alors que l'utilisateurs
ne
ferme pas sa session??

Meric pour vos réponses


F. Dunoyer [MVP]
Le #565006
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,

depuis son compte:
Démarrer / Exécuter / control keymgr.dll

Il a dû enregistré son mot de passe et le changer ensuite.

Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
humm ça n'engage que toi :) !


Le vérouillage des comptes oui ! (ça évite certaines "attaques")
Mais il faut le relacher rapidement - au bout d'une minute par exemple
(ça évite de faire intervenir l'administrater trop souvent)

:)
bonne journée

--
François Dunoyer [MVP Windows Server / Security]
Jours après jours avec Longhorn Server
http://fds.mvps.org/LH/index.htm

Olivier B.
Le #565005
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU"

Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.


possible

J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9


l'article evoque le cout à l'appel pour deverouiller un compte, il
preconise à la place d'un mot de passe complexe d'utiliser une
passphrase, je cite:

rapide à taper, et de loin plus solide que n’importe quel mot
de passe complexe mais court. Une courte phrase va résister
aux attaques de mots de passe, y compris celles basées sur
des « rainbow tables ». Et vous pouvez même utiliser une
méthode afin de vous souvenir d’une phrase unique par site
si vous le souhaitez :

webmail: “mon chien et moi avons du courrier”
courses: “mon chien et moi avons acheté des choses”
bureau: “mon chien et moi sommes au travail”


franchement j'y crois pas trops pour plusieurs raisons:

-déjà avec des pass aussi simples qu'un mot du dictionnaire les
utilisateurs arrivent à oublier, alors imposer 15 caractere comment
dire

-la passphrase est une combinaison de mots du dictionnaire, en cela
une attaque force brute/spécifique est programmable, sans verrouillage
de compte c'est l'intrusion assurée

-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai
phrase, certains se contenteront de dupliquer un mot

-le verouillage de compte est un signal utile pour l'administrateur et
pour l'utilisateur

-le verouillage de compte peut effectivement faire l'objet d'une
attaque dos mais il est alors simple et rapide de supprimer
temporairement la strategie du domaine afin de faire "repartir"
l'entreprise et isoler l'attaquant coté reseau, evidement tout bon
administrateur à un compte d'admin "planqué".

En cela je pense que le verouillage de compte est un complement utile
mais évidement insuffiseant en soit, et qu'une passphrase ne remplace
pas un mdp complexe+verouillage.

--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase

Mathieu CHATEAU
Le #565004
un compte admin "planqué" ? il suffit d'interroger l'ad sur les membres des
groupes Domaines Admins & co

Un vrai attaquant cherchera le pass du compte administrateur (SID 500), qui
ne peut pas être verrouillé (enfin il se déverrouille dès qu'on a le bon mot
de passe)

De toute façon ils oublient même les mots de passes "courts" ;)
Cela est à compléter avec l'objectif d'avoir qu'un compte (login/pass),
celui de l'AD. S'il n'y a plus un compte par application, et que
l'utilisateur n'a plus qu'un seul et unique mot de passe à retenir, je pense
que c'est viable.
Surtout si on ne lui demande plus d'en changer tous les 30 jours..

Pour info, même en ntlm (partant du principe que le lm hash n'est plus
actif), les rainbow table vont jusqu'à 6 ou 8 caractères, rendant les mots
de passes courts (même complexe) très rapide à casser.

Sans compter sur une trouvaille récente, utiliser une GeForce pour faire du
brute force NTLM. Les tests semblent indiquer que l'on passe de 20 jours à 3
jours en utilisant la dernière geforce.

Avoir un mot de passe long est le dernier rempart à mon sens.

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Olivier B." news:
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU"

Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.


possible

J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9


l'article evoque le cout à l'appel pour deverouiller un compte, il
preconise à la place d'un mot de passe complexe d'utiliser une
passphrase, je cite:

rapide à taper, et de loin plus solide que n'importe quel mot
de passe complexe mais court. Une courte phrase va résister
aux attaques de mots de passe, y compris celles basées sur
des « rainbow tables ». Et vous pouvez même utiliser une
méthode afin de vous souvenir d'une phrase unique par site
si vous le souhaitez :

webmail: "mon chien et moi avons du courrier"
courses: "mon chien et moi avons acheté des choses"
bureau: "mon chien et moi sommes au travail"


franchement j'y crois pas trops pour plusieurs raisons:

-déjà avec des pass aussi simples qu'un mot du dictionnaire les
utilisateurs arrivent à oublier, alors imposer 15 caractere comment
dire

-la passphrase est une combinaison de mots du dictionnaire, en cela
une attaque force brute/spécifique est programmable, sans verrouillage
de compte c'est l'intrusion assurée

-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai
phrase, certains se contenteront de dupliquer un mot

-le verouillage de compte est un signal utile pour l'administrateur et
pour l'utilisateur

-le verouillage de compte peut effectivement faire l'objet d'une
attaque dos mais il est alors simple et rapide de supprimer
temporairement la strategie du domaine afin de faire "repartir"
l'entreprise et isoler l'attaquant coté reseau, evidement tout bon
administrateur à un compte d'admin "planqué".

En cela je pense que le verouillage de compte est un complement utile
mais évidement insuffiseant en soit, et qu'une passphrase ne remplace
pas un mdp complexe+verouillage.

--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase



Mathieu CHATEAU
Le #565003
1 minute ? Ca maintient la gêne pour l'utilisateur (il va appeler avant), et
ca laisse la porte suffisamment ouverte pour laisser un DOS viable

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"F. Dunoyer [MVP]" news:
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,

depuis son compte:
Démarrer / Exécuter / control keymgr.dll

Il a dû enregistré son mot de passe et le changer ensuite.

Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
humm ça n'engage que toi :) !


Le vérouillage des comptes oui ! (ça évite certaines "attaques")
Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça
évite de faire intervenir l'administrater trop souvent)

:)
bonne journée

--
François Dunoyer [MVP Windows Server / Security]
Jours après jours avec Longhorn Server
http://fds.mvps.org/LH/index.htm





Publicité
Poster une réponse
Anonyme