Changer un mot de passe local a distance ET en sécurité
3 réponses
abaratin
Salut =E0 tous,
Je cherche depuis plusieurs jour une solution pour "d=E9ployer" un mot d
epasse local sur chaque machine de mon r=E9seau. Je travaille sous
server 2003 et XP.
J'ai vu =E9norm=E9ment de solutions pour le faire mais pour toutes ces
solutions le mot de passe est transmis en clair sur le r=E9seau. Ces
solutions ne peuvent donc pas =EAtre retenues.
En fait la seule m=E9thode valable consiste =E0 aller dans la gestion de
l'ordinateur, de l=E0 de se connecter =E0 un autre ordinateur, puis dans
outils syst=E8me/Utilisateurs et groupes locaux de changer le mot de
passe.
J'ai sniff=E9 sur le r=E9seau ce proc=E9d=E9 et il est impossible de voir l=
e
mot de passe. Par contre il faut en gros 20 clics et 5min pour changer
le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je
vois pas trop comment je pourrais automatiser ce proc=E9d=E9.
L'autre piste que j'ai fait rapport au fichiers de r=E9ponse que l'on
cr=E9=E9e pour automatiser les installs de Windows (pour RIS ou pour un CD
PE). On peut mettre le mot de passe admin local et il est encrypt=E9
dans le fichier de r=E9ponse (si on a coch=E9 la case). Par contre je ne
veux pas non plus r=E9installer mes 300 PC parce que l=E0 il y en aurait
pour encore plus longtemps de boulot. Il faudrait juste trouver un
moyen de balancer ce hash du mot de passe par le r=E9seau et que Windows
sache que c'est un hash (dans le fichier de r=E9ponses il y a
EncryptedPassword=3DYes)
Bref ma question est: Quelqu'un connait il un moyen de changer ces
mots de passe locaux =E0 distance et de mani=E8re s=E9curis=E9e (c'est =E0 =
dire
que le mdp n'est pas stock=E9 et ne transite pas en clair)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan BISMUTH [Bis IT]
Bonjour,
petit retour d'expérience de mon côté. Chez l'un de mes clients, nous avions le même besoin (ainsi que mettre à jour un certain nombre de corrections) et avons développé un petit système client (en autoIT) / serveur (PHP-MySQL) avec petite conception d'un algo maison. Globalement, le client allait se connecter a sa page dédiée sur le serv, et récupérait de manière encrypté (algo pondu par nous même) une suite de caractères qui, après décryption correspondaient au mot de passe (puis net user Machineadministrateur password), paramètrs réseaux etc...
De manière plus basique, pourquoi ne pas diffuser par le réseau (psexec, script de logon, GPO...) un petit script AutoIT compilé (et crypté nativement) qui contient ton changement de password et est supprimé à la volée après opération? Si tu ne souhaite pas de stockage du tout, tu peux aussi utiliser ce script pour se connecter à une page web lire un certain nombre de caractères (bidouillés par décallages et incrémentation), les concaténer pour obtenir le password et le changer ne local.
Bon courage à toi!
Cordialement, -- Jonathan BISMUTH Bis IT MVP Windows Server - Directory Services http://www.bis-it.fr http://blog.portail-mcse.net
"abaratin" a écrit dans le message de news:
Salut à tous,
Je cherche depuis plusieurs jour une solution pour "déployer" un mot d epasse local sur chaque machine de mon réseau. Je travaille sous server 2003 et XP.
J'ai vu énormément de solutions pour le faire mais pour toutes ces solutions le mot de passe est transmis en clair sur le réseau. Ces solutions ne peuvent donc pas être retenues.
En fait la seule méthode valable consiste à aller dans la gestion de l'ordinateur, de là de se connecter à un autre ordinateur, puis dans outils système/Utilisateurs et groupes locaux de changer le mot de passe.
J'ai sniffé sur le réseau ce procédé et il est impossible de voir le mot de passe. Par contre il faut en gros 20 clics et 5min pour changer le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je vois pas trop comment je pourrais automatiser ce procédé.
L'autre piste que j'ai fait rapport au fichiers de réponse que l'on créée pour automatiser les installs de Windows (pour RIS ou pour un CD PE). On peut mettre le mot de passe admin local et il est encrypté dans le fichier de réponse (si on a coché la case). Par contre je ne veux pas non plus réinstaller mes 300 PC parce que là il y en aurait pour encore plus longtemps de boulot. Il faudrait juste trouver un moyen de balancer ce hash du mot de passe par le réseau et que Windows sache que c'est un hash (dans le fichier de réponses il y a EncryptedPassword=Yes)
Bref ma question est: Quelqu'un connait il un moyen de changer ces mots de passe locaux à distance et de manière sécurisée (c'est à dire que le mdp n'est pas stocké et ne transite pas en clair)
Je prends toutes les idées et les suggestions !
Merci et bonne soirée.
Bonjour,
petit retour d'expérience de mon côté.
Chez l'un de mes clients, nous avions le même besoin (ainsi que mettre à
jour un certain nombre de corrections) et avons développé un petit système
client (en autoIT) / serveur (PHP-MySQL) avec petite conception d'un algo
maison.
Globalement, le client allait se connecter a sa page dédiée sur le serv, et
récupérait de manière encrypté (algo pondu par nous même) une suite de
caractères qui, après décryption correspondaient au mot de passe (puis net
user Machineadministrateur password), paramètrs réseaux etc...
De manière plus basique, pourquoi ne pas diffuser par le réseau (psexec,
script de logon, GPO...) un petit script AutoIT compilé (et crypté
nativement) qui contient ton changement de password et est supprimé à la
volée après opération?
Si tu ne souhaite pas de stockage du tout, tu peux aussi utiliser ce script
pour se connecter à une page web lire un certain nombre de caractères
(bidouillés par décallages et incrémentation), les concaténer pour obtenir
le password et le changer ne local.
Bon courage à toi!
Cordialement,
--
Jonathan BISMUTH
Bis IT
MVP Windows Server - Directory Services
http://www.bis-it.fr
http://blog.portail-mcse.net
"abaratin" <b00tni@gmail.com> a écrit dans le message de news:
c2f19fb5-ee89-4e91-a9c5-514227fd8ef7@e8g2000yqo.googlegroups.com...
Salut à tous,
Je cherche depuis plusieurs jour une solution pour "déployer" un mot d
epasse local sur chaque machine de mon réseau. Je travaille sous
server 2003 et XP.
J'ai vu énormément de solutions pour le faire mais pour toutes ces
solutions le mot de passe est transmis en clair sur le réseau. Ces
solutions ne peuvent donc pas être retenues.
En fait la seule méthode valable consiste à aller dans la gestion de
l'ordinateur, de là de se connecter à un autre ordinateur, puis dans
outils système/Utilisateurs et groupes locaux de changer le mot de
passe.
J'ai sniffé sur le réseau ce procédé et il est impossible de voir le
mot de passe. Par contre il faut en gros 20 clics et 5min pour changer
le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je
vois pas trop comment je pourrais automatiser ce procédé.
L'autre piste que j'ai fait rapport au fichiers de réponse que l'on
créée pour automatiser les installs de Windows (pour RIS ou pour un CD
PE). On peut mettre le mot de passe admin local et il est encrypté
dans le fichier de réponse (si on a coché la case). Par contre je ne
veux pas non plus réinstaller mes 300 PC parce que là il y en aurait
pour encore plus longtemps de boulot. Il faudrait juste trouver un
moyen de balancer ce hash du mot de passe par le réseau et que Windows
sache que c'est un hash (dans le fichier de réponses il y a
EncryptedPassword=Yes)
Bref ma question est: Quelqu'un connait il un moyen de changer ces
mots de passe locaux à distance et de manière sécurisée (c'est à dire
que le mdp n'est pas stocké et ne transite pas en clair)
petit retour d'expérience de mon côté. Chez l'un de mes clients, nous avions le même besoin (ainsi que mettre à jour un certain nombre de corrections) et avons développé un petit système client (en autoIT) / serveur (PHP-MySQL) avec petite conception d'un algo maison. Globalement, le client allait se connecter a sa page dédiée sur le serv, et récupérait de manière encrypté (algo pondu par nous même) une suite de caractères qui, après décryption correspondaient au mot de passe (puis net user Machineadministrateur password), paramètrs réseaux etc...
De manière plus basique, pourquoi ne pas diffuser par le réseau (psexec, script de logon, GPO...) un petit script AutoIT compilé (et crypté nativement) qui contient ton changement de password et est supprimé à la volée après opération? Si tu ne souhaite pas de stockage du tout, tu peux aussi utiliser ce script pour se connecter à une page web lire un certain nombre de caractères (bidouillés par décallages et incrémentation), les concaténer pour obtenir le password et le changer ne local.
Bon courage à toi!
Cordialement, -- Jonathan BISMUTH Bis IT MVP Windows Server - Directory Services http://www.bis-it.fr http://blog.portail-mcse.net
"abaratin" a écrit dans le message de news:
Salut à tous,
Je cherche depuis plusieurs jour une solution pour "déployer" un mot d epasse local sur chaque machine de mon réseau. Je travaille sous server 2003 et XP.
J'ai vu énormément de solutions pour le faire mais pour toutes ces solutions le mot de passe est transmis en clair sur le réseau. Ces solutions ne peuvent donc pas être retenues.
En fait la seule méthode valable consiste à aller dans la gestion de l'ordinateur, de là de se connecter à un autre ordinateur, puis dans outils système/Utilisateurs et groupes locaux de changer le mot de passe.
J'ai sniffé sur le réseau ce procédé et il est impossible de voir le mot de passe. Par contre il faut en gros 20 clics et 5min pour changer le mdp sur 1 PC (en gros 25heures de boulot pour mes 300PC). Bref je vois pas trop comment je pourrais automatiser ce procédé.
L'autre piste que j'ai fait rapport au fichiers de réponse que l'on créée pour automatiser les installs de Windows (pour RIS ou pour un CD PE). On peut mettre le mot de passe admin local et il est encrypté dans le fichier de réponse (si on a coché la case). Par contre je ne veux pas non plus réinstaller mes 300 PC parce que là il y en aurait pour encore plus longtemps de boulot. Il faudrait juste trouver un moyen de balancer ce hash du mot de passe par le réseau et que Windows sache que c'est un hash (dans le fichier de réponses il y a EncryptedPassword=Yes)
Bref ma question est: Quelqu'un connait il un moyen de changer ces mots de passe locaux à distance et de manière sécurisée (c'est à dire que le mdp n'est pas stocké et ne transite pas en clair)
Je prends toutes les idées et les suggestions !
Merci et bonne soirée.
Lotre
Salut,
Pour ma part, dans une situation analogue ( changement des mots de passe des administrateurs locaux) j'utilise un petit exécutable fait maison lancé au démarrage (par GPO machine) Ce prgm prend les infos (nouveaux mots de passe) et journalise les résultats dans un partage du serveur qui n'est accessible qu'aux admins du domaine et aux "Ordinateurs du domaine" Je peux donc en plus repérer ainsi les stations problématiques ( stratégies mal appliquées) puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant ( je ne travaille pas à la CIA)
HB
Salut,
Pour ma part, dans une situation analogue
( changement des mots de passe des administrateurs locaux)
j'utilise un petit exécutable fait maison
lancé au démarrage (par GPO machine)
Ce prgm prend les infos (nouveaux mots de passe)
et journalise les résultats
dans un partage du serveur
qui n'est accessible qu'aux admins du domaine
et aux "Ordinateurs du domaine"
Je peux donc en plus repérer ainsi les stations problématiques
( stratégies mal appliquées)
puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant
( je ne travaille pas à la CIA)
Pour ma part, dans une situation analogue ( changement des mots de passe des administrateurs locaux) j'utilise un petit exécutable fait maison lancé au démarrage (par GPO machine) Ce prgm prend les infos (nouveaux mots de passe) et journalise les résultats dans un partage du serveur qui n'est accessible qu'aux admins du domaine et aux "Ordinateurs du domaine" Je peux donc en plus repérer ainsi les stations problématiques ( stratégies mal appliquées) puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant ( je ne travaille pas à la CIA)
HB
Tib00n
On 2 oct, 16:04, "Lotre" wrote:
Salut,
Pour ma part, dans une situation analogue ( changement des mots de passe des administrateurs locaux) j'utilise un petit exécutable fait maison lancé au démarrage (par GPO machine) Ce prgm prend les infos (nouveaux mots de passe)
C'est à dire? les mdp sont aussi sur un partage? ou ils sont dans ton script?
et journalise les résultats dans un partage du serveur qui n'est accessible qu'aux admins du domaine et aux "Ordinateurs du domaine" Je peux donc en plus repérer ainsi les stations problématiques ( stratégies mal appliquées) puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant ( je ne travaille pas à la CIA)
Moi non plus :) Cependant, dans les solutions que j'ai vues, ce qui me gène c'est que le mot de passe transite en clair sur le réseau bref si quelqu'un sniffe les trames qui passent sur mon réseau il a les mots de passe. je suppose que certains petits malins y ont déja pensé et que donc des trojans ou autres doivent chercher à attraper ces mdp. Ou bien encore des utilisateurs (certes très expérimentés) qui branchent une clé U SB avec wireshark portable pourraient ainsi utiliser leur machine en admin...
Ok, je me base sur des suppositions mais de mon point de vue les mots de passe admins doivent faire l'objet de la plus grande prudence.
HB
On 2 oct, 16:04, "Lotre" <m...@pas.la.ici> wrote:
Salut,
Pour ma part, dans une situation analogue
( changement des mots de passe des administrateurs locaux)
j'utilise un petit exécutable fait maison
lancé au démarrage (par GPO machine)
Ce prgm prend les infos (nouveaux mots de passe)
C'est à dire? les mdp sont aussi sur un partage? ou ils sont dans ton
script?
et journalise les résultats
dans un partage du serveur
qui n'est accessible qu'aux admins du domaine
et aux "Ordinateurs du domaine"
Je peux donc en plus repérer ainsi les stations problématiques
( stratégies mal appliquées)
puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant
( je ne travaille pas à la CIA)
Moi non plus :)
Cependant, dans les solutions que j'ai vues, ce qui me gène c'est que
le mot de passe transite en clair sur le réseau bref si quelqu'un
sniffe les trames qui passent sur mon réseau il a les mots de passe.
je suppose que certains petits malins y ont déja pensé et que donc des
trojans ou autres doivent chercher à attraper ces mdp. Ou bien encore
des utilisateurs (certes très expérimentés) qui branchent une clé U SB
avec wireshark portable pourraient ainsi utiliser leur machine en
admin...
Ok, je me base sur des suppositions mais de mon point de vue les mots
de passe admins doivent faire l'objet de la plus grande prudence.
Pour ma part, dans une situation analogue ( changement des mots de passe des administrateurs locaux) j'utilise un petit exécutable fait maison lancé au démarrage (par GPO machine) Ce prgm prend les infos (nouveaux mots de passe)
C'est à dire? les mdp sont aussi sur un partage? ou ils sont dans ton script?
et journalise les résultats dans un partage du serveur qui n'est accessible qu'aux admins du domaine et aux "Ordinateurs du domaine" Je peux donc en plus repérer ainsi les stations problématiques ( stratégies mal appliquées) puisqu'elle sont absentes des compte-rendus.
D'un point de vue "sécurité" cela m'a semblé suffisant ( je ne travaille pas à la CIA)
Moi non plus :) Cependant, dans les solutions que j'ai vues, ce qui me gène c'est que le mot de passe transite en clair sur le réseau bref si quelqu'un sniffe les trames qui passent sur mon réseau il a les mots de passe. je suppose que certains petits malins y ont déja pensé et que donc des trojans ou autres doivent chercher à attraper ces mdp. Ou bien encore des utilisateurs (certes très expérimentés) qui branchent une clé U SB avec wireshark portable pourraient ainsi utiliser leur machine en admin...
Ok, je me base sur des suppositions mais de mon point de vue les mots de passe admins doivent faire l'objet de la plus grande prudence.
