Je rencontre un probléme avec un utilisateur dont le compte se vérouille
seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du
domaine et curieusement dans l'observateur d'événement du DC j'ai souvent des
messages d'ouverture et de fermeture de session alors que l'utilisateurs ne
ferme pas sa session??
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Mathieu CHATEAU
Bonjour,
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"jlb59" wrote in message news:
Bonjour
Je rencontre un probléme avec un utilisateur dont le compte se vérouille seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du domaine et curieusement dans l'observateur d'événement du DC j'ai souvent des messages d'ouverture et de fermeture de session alors que l'utilisateurs ne ferme pas sa session??
Meric pour vos réponses
Bonjour,
depuis son compte:
Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9
--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr
"jlb59" <jlb59@discussions.microsoft.com> wrote in message
news:8E3556CE-6B30-4F83-9B71-411C6BCEDB38@microsoft.com...
Bonjour
Je rencontre un probléme avec un utilisateur dont le compte se vérouille
seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du
domaine et curieusement dans l'observateur d'événement du DC j'ai souvent
des
messages d'ouverture et de fermeture de session alors que l'utilisateurs
ne
ferme pas sa session??
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"jlb59" wrote in message news:
Bonjour
Je rencontre un probléme avec un utilisateur dont le compte se vérouille seul plusieurs fois par jour, l'utilisateur est un simple utilisateur du domaine et curieusement dans l'observateur d'événement du DC j'ai souvent des messages d'ouverture et de fermeture de session alors que l'utilisateurs ne ferme pas sa session??
Meric pour vos réponses
F. Dunoyer [MVP]
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques") Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça évite de faire intervenir l'administrater trop souvent)
:) bonne journée
-- François Dunoyer [MVP Windows Server / Security] Jours après jours avec Longhorn Server http://fds.mvps.org/LH/index.htm
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,
depuis son compte:
Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques")
Mais il faut le relacher rapidement - au bout d'une minute par exemple
(ça évite de faire intervenir l'administrater trop souvent)
:)
bonne journée
--
François Dunoyer [MVP Windows Server / Security]
Jours après jours avec Longhorn Server
http://fds.mvps.org/LH/index.htm
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques") Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça évite de faire intervenir l'administrater trop souvent)
:) bonne journée
-- François Dunoyer [MVP Windows Server / Security] Jours après jours avec Longhorn Server http://fds.mvps.org/LH/index.htm
Olivier B.
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU" wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il preconise à la place d'un mot de passe complexe d'utiliser une passphrase, je cite:
rapide à taper, et de loin plus solide que nimporte quel mot de passe complexe mais court. Une courte phrase va résister aux attaques de mots de passe, y compris celles basées sur des « rainbow tables ». Et vous pouvez même utiliser une méthode afin de vous souvenir dune phrase unique par site si vous le souhaitez :
webmail: mon chien et moi avons du courrier courses: mon chien et moi avons acheté des choses bureau: mon chien et moi sommes au travail
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les utilisateurs arrivent à oublier, alors imposer 15 caractere comment dire
-la passphrase est une combinaison de mots du dictionnaire, en cela une attaque force brute/spécifique est programmable, sans verrouillage de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une attaque dos mais il est alors simple et rapide de supprimer temporairement la strategie du domaine afin de faire "repartir" l'entreprise et isoler l'attaquant coté reseau, evidement tout bon administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile mais évidement insuffiseant en soit, et qu'une passphrase ne remplace pas un mdp complexe+verouillage.
-- http://olivier.2a.free.fr/ pas de turlututu. apres l'@robase
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU"
<gollum123@free.fr> wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il
preconise à la place d'un mot de passe complexe d'utiliser une
passphrase, je cite:
rapide à taper, et de loin plus solide que nimporte quel mot
de passe complexe mais court. Une courte phrase va résister
aux attaques de mots de passe, y compris celles basées sur
des « rainbow tables ». Et vous pouvez même utiliser une
méthode afin de vous souvenir dune phrase unique par site
si vous le souhaitez :
webmail: mon chien et moi avons du courrier
courses: mon chien et moi avons acheté des choses
bureau: mon chien et moi sommes au travail
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les
utilisateurs arrivent à oublier, alors imposer 15 caractere comment
dire
-la passphrase est une combinaison de mots du dictionnaire, en cela
une attaque force brute/spécifique est programmable, sans verrouillage
de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai
phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et
pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une
attaque dos mais il est alors simple et rapide de supprimer
temporairement la strategie du domaine afin de faire "repartir"
l'entreprise et isoler l'attaquant coté reseau, evidement tout bon
administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile
mais évidement insuffiseant en soit, et qu'une passphrase ne remplace
pas un mdp complexe+verouillage.
--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU" wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il preconise à la place d'un mot de passe complexe d'utiliser une passphrase, je cite:
rapide à taper, et de loin plus solide que nimporte quel mot de passe complexe mais court. Une courte phrase va résister aux attaques de mots de passe, y compris celles basées sur des « rainbow tables ». Et vous pouvez même utiliser une méthode afin de vous souvenir dune phrase unique par site si vous le souhaitez :
webmail: mon chien et moi avons du courrier courses: mon chien et moi avons acheté des choses bureau: mon chien et moi sommes au travail
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les utilisateurs arrivent à oublier, alors imposer 15 caractere comment dire
-la passphrase est une combinaison de mots du dictionnaire, en cela une attaque force brute/spécifique est programmable, sans verrouillage de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une attaque dos mais il est alors simple et rapide de supprimer temporairement la strategie du domaine afin de faire "repartir" l'entreprise et isoler l'attaquant coté reseau, evidement tout bon administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile mais évidement insuffiseant en soit, et qu'une passphrase ne remplace pas un mdp complexe+verouillage.
-- http://olivier.2a.free.fr/ pas de turlututu. apres l'@robase
Mathieu CHATEAU
un compte admin "planqué" ? il suffit d'interroger l'ad sur les membres des groupes Domaines Admins & co
Un vrai attaquant cherchera le pass du compte administrateur (SID 500), qui ne peut pas être verrouillé (enfin il se déverrouille dès qu'on a le bon mot de passe)
De toute façon ils oublient même les mots de passes "courts" ;) Cela est à compléter avec l'objectif d'avoir qu'un compte (login/pass), celui de l'AD. S'il n'y a plus un compte par application, et que l'utilisateur n'a plus qu'un seul et unique mot de passe à retenir, je pense que c'est viable. Surtout si on ne lui demande plus d'en changer tous les 30 jours..
Pour info, même en ntlm (partant du principe que le lm hash n'est plus actif), les rainbow table vont jusqu'à 6 ou 8 caractères, rendant les mots de passes courts (même complexe) très rapide à casser.
Sans compter sur une trouvaille récente, utiliser une GeForce pour faire du brute force NTLM. Les tests semblent indiquer que l'on passe de 20 jours à 3 jours en utilisant la dernière geforce.
Avoir un mot de passe long est le dernier rempart à mon sens.
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"Olivier B." wrote in message news:
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU" wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il preconise à la place d'un mot de passe complexe d'utiliser une passphrase, je cite:
rapide à taper, et de loin plus solide que n'importe quel mot de passe complexe mais court. Une courte phrase va résister aux attaques de mots de passe, y compris celles basées sur des « rainbow tables ». Et vous pouvez même utiliser une méthode afin de vous souvenir d'une phrase unique par site si vous le souhaitez :
webmail: "mon chien et moi avons du courrier" courses: "mon chien et moi avons acheté des choses" bureau: "mon chien et moi sommes au travail"
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les utilisateurs arrivent à oublier, alors imposer 15 caractere comment dire
-la passphrase est une combinaison de mots du dictionnaire, en cela une attaque force brute/spécifique est programmable, sans verrouillage de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une attaque dos mais il est alors simple et rapide de supprimer temporairement la strategie du domaine afin de faire "repartir" l'entreprise et isoler l'attaquant coté reseau, evidement tout bon administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile mais évidement insuffiseant en soit, et qu'une passphrase ne remplace pas un mdp complexe+verouillage.
-- http://olivier.2a.free.fr/ pas de turlututu. apres l'@robase
un compte admin "planqué" ? il suffit d'interroger l'ad sur les membres des
groupes Domaines Admins & co
Un vrai attaquant cherchera le pass du compte administrateur (SID 500), qui
ne peut pas être verrouillé (enfin il se déverrouille dès qu'on a le bon mot
de passe)
De toute façon ils oublient même les mots de passes "courts" ;)
Cela est à compléter avec l'objectif d'avoir qu'un compte (login/pass),
celui de l'AD. S'il n'y a plus un compte par application, et que
l'utilisateur n'a plus qu'un seul et unique mot de passe à retenir, je pense
que c'est viable.
Surtout si on ne lui demande plus d'en changer tous les 30 jours..
Pour info, même en ntlm (partant du principe que le lm hash n'est plus
actif), les rainbow table vont jusqu'à 6 ou 8 caractères, rendant les mots
de passes courts (même complexe) très rapide à casser.
Sans compter sur une trouvaille récente, utiliser une GeForce pour faire du
brute force NTLM. Les tests semblent indiquer que l'on passe de 20 jours à 3
jours en utilisant la dernière geforce.
Avoir un mot de passe long est le dernier rempart à mon sens.
--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr
"Olivier B." <olivier.2a@turlututu.free.fr> wrote in message
news:c8t7k3hnduruj9t521mb50mkgc7iiarnik@4ax.com...
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU"
<gollum123@free.fr> wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet:
http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il
preconise à la place d'un mot de passe complexe d'utiliser une
passphrase, je cite:
rapide à taper, et de loin plus solide que n'importe quel mot
de passe complexe mais court. Une courte phrase va résister
aux attaques de mots de passe, y compris celles basées sur
des « rainbow tables ». Et vous pouvez même utiliser une
méthode afin de vous souvenir d'une phrase unique par site
si vous le souhaitez :
webmail: "mon chien et moi avons du courrier"
courses: "mon chien et moi avons acheté des choses"
bureau: "mon chien et moi sommes au travail"
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les
utilisateurs arrivent à oublier, alors imposer 15 caractere comment
dire
-la passphrase est une combinaison de mots du dictionnaire, en cela
une attaque force brute/spécifique est programmable, sans verrouillage
de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai
phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et
pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une
attaque dos mais il est alors simple et rapide de supprimer
temporairement la strategie du domaine afin de faire "repartir"
l'entreprise et isoler l'attaquant coté reseau, evidement tout bon
administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile
mais évidement insuffiseant en soit, et qu'une passphrase ne remplace
pas un mdp complexe+verouillage.
--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase
un compte admin "planqué" ? il suffit d'interroger l'ad sur les membres des groupes Domaines Admins & co
Un vrai attaquant cherchera le pass du compte administrateur (SID 500), qui ne peut pas être verrouillé (enfin il se déverrouille dès qu'on a le bon mot de passe)
De toute façon ils oublient même les mots de passes "courts" ;) Cela est à compléter avec l'objectif d'avoir qu'un compte (login/pass), celui de l'AD. S'il n'y a plus un compte par application, et que l'utilisateur n'a plus qu'un seul et unique mot de passe à retenir, je pense que c'est viable. Surtout si on ne lui demande plus d'en changer tous les 30 jours..
Pour info, même en ntlm (partant du principe que le lm hash n'est plus actif), les rainbow table vont jusqu'à 6 ou 8 caractères, rendant les mots de passes courts (même complexe) très rapide à casser.
Sans compter sur une trouvaille récente, utiliser une GeForce pour faire du brute force NTLM. Les tests semblent indiquer que l'on passe de 20 jours à 3 jours en utilisant la dernière geforce.
Avoir un mot de passe long est le dernier rempart à mon sens.
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"Olivier B." wrote in message news:
On Wed, 21 Nov 2007 00:26:18 +0100, "Mathieu CHATEAU" wrote:
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité.
possible
J'ai traduis un article de Steve Riley à ce sujet: http://www.lotp.fr/?p=9
l'article evoque le cout à l'appel pour deverouiller un compte, il preconise à la place d'un mot de passe complexe d'utiliser une passphrase, je cite:
rapide à taper, et de loin plus solide que n'importe quel mot de passe complexe mais court. Une courte phrase va résister aux attaques de mots de passe, y compris celles basées sur des « rainbow tables ». Et vous pouvez même utiliser une méthode afin de vous souvenir d'une phrase unique par site si vous le souhaitez :
webmail: "mon chien et moi avons du courrier" courses: "mon chien et moi avons acheté des choses" bureau: "mon chien et moi sommes au travail"
franchement j'y crois pas trops pour plusieurs raisons:
-déjà avec des pass aussi simples qu'un mot du dictionnaire les utilisateurs arrivent à oublier, alors imposer 15 caractere comment dire
-la passphrase est une combinaison de mots du dictionnaire, en cela une attaque force brute/spécifique est programmable, sans verrouillage de compte c'est l'intrusion assurée
-imposer 15 caractere n'obligera pas les utilisateurs à faire une vrai phrase, certains se contenteront de dupliquer un mot
-le verouillage de compte est un signal utile pour l'administrateur et pour l'utilisateur
-le verouillage de compte peut effectivement faire l'objet d'une attaque dos mais il est alors simple et rapide de supprimer temporairement la strategie du domaine afin de faire "repartir" l'entreprise et isoler l'attaquant coté reseau, evidement tout bon administrateur à un compte d'admin "planqué".
En cela je pense que le verouillage de compte est un complement utile mais évidement insuffiseant en soit, et qu'une passphrase ne remplace pas un mdp complexe+verouillage.
-- http://olivier.2a.free.fr/ pas de turlututu. apres l'@robase
Mathieu CHATEAU
1 minute ? Ca maintient la gêne pour l'utilisateur (il va appeler avant), et ca laisse la porte suffisamment ouverte pour laisser un DOS viable
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"F. Dunoyer [MVP]" ~.net> wrote in message news:
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques") Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça évite de faire intervenir l'administrater trop souvent)
:) bonne journée
-- François Dunoyer [MVP Windows Server / Security] Jours après jours avec Longhorn Server http://fds.mvps.org/LH/index.htm
1 minute ? Ca maintient la gêne pour l'utilisateur (il va appeler avant), et
ca laisse la porte suffisamment ouverte pour laisser un DOS viable
--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr
"F. Dunoyer [MVP]" <wdunoyer-nimportequoi@laposte~.net> wrote in message
news:mn.aa1b7d7bceea6968.14554@laposte.net...
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,
depuis son compte:
Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de
sécurité.
humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques")
Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça
évite de faire intervenir l'administrater trop souvent)
:)
bonne journée
--
François Dunoyer [MVP Windows Server / Security]
Jours après jours avec Longhorn Server
http://fds.mvps.org/LH/index.htm
1 minute ? Ca maintient la gêne pour l'utilisateur (il va appeler avant), et ca laisse la porte suffisamment ouverte pour laisser un DOS viable
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"F. Dunoyer [MVP]" ~.net> wrote in message news:
Mathieu CHATEAU a émis l'idée suivante :
Bonjour,
depuis son compte: Démarrer / Exécuter / control keymgr.dll
Il a dû enregistré son mot de passe et le changer ensuite.
Le verrouillage de compte n'est généralement pas une bonne pratique de sécurité. humm ça n'engage que toi :) !
Le vérouillage des comptes oui ! (ça évite certaines "attaques") Mais il faut le relacher rapidement - au bout d'une minute par exemple (ça évite de faire intervenir l'administrater trop souvent)
:) bonne journée
-- François Dunoyer [MVP Windows Server / Security] Jours après jours avec Longhorn Server http://fds.mvps.org/LH/index.htm