PasswordOne

imagine · Inscrit le: 01 Mar 2008 Messages: 2

Bonjour;

Mon problème se situe dans un reseau intranet, mon soucis est sous forme de deux questions:
-> sachant que lorsque windows xp demarre il y a une fenetre "identique à celles de win 2K / NT" qui demande un login et un MP,
alors, lorsqu'on tombe sur le fichier SAM de la machine en question, que comporte t il ?
les MP de tous les gens qui ont été sur cette becane "achant qu'on se connecte sur un reseau intranet directemnt aprés authentification",
ou bien juste celui de l admin de la machie??

-> supposant que c'est le MP de l'admine qui est dedans, mais, quand j'ai chargé les fichiers sur le "saminside"
le logiciel avait marqué que 100% des MP ont été retrouvé!! pour l admine et l'invité les MP été "<syskeyed>" mais je ne pense pas que se sont les MP!! car ils marchaient pas...

Scroll3D · Inscrit le: 11 Avr 2007 Messages: 16

Bonjour,

Effectivement j'ai rencontré le même problème, à savoir que les MP retrouvés dans la base SAM n'était que des MP locaux, mais pour les login intranet, ils n'apparaissent pas.
Or si l'intranet ne fonctionne pas, ces login sont quand même opérationnels avec leur MP. Donc la question est : où sont-ils?
Et si quelqu'un peut répondre, la question suivante est : comment les décrypter?

PasswordOne · Posté le: 01 Mar 2008 23:49 Sujet du message:

Bonjour imagine et Scroll3D,

La base SAM contient uniquement les comptes locaux appartenant au PC dans un Workgroup. Par contre si le PC se connecte sur un domaine, la base SAM est stockée sur le serveur Contrôleur du Domaine. Wink

imagine · Inscrit le: 01 Mar 2008 Messages: 2

Ce qui implique?
on peut faire des manips sur le serveur ?!

merci pour vos commentaires.

PasswordOne · Posté le: 02 Mar 2008 21:47 Sujet du message:

Bonjour imagine,

Sur le contrôleur de domaine il existe aussi la base SAM des comptes et mots de passe du domaine mais il faut avoir les droits d'administrateur du domaine pour y avoir accès. Confused

Scroll3D · Inscrit le: 11 Avr 2007 Messages: 16

Bonjour PasswordOne,

Ce que je comprends de ton dernier post c'est qu'il y a une base SAM sur le serveur, et donc qu'il faut pouvoir y accéder pour la récupérer, soit physiquement en intervenant sur le serveur, soit en se connectant en administrateur réseau. Or tout ça est hors du PC concerné.

Ce que j'ai constaté, c'est que l'utilisateur d'un domaine n'apparait pas dans la base SAM locale (du PC), mais lorsque le PC est physiquement déconnecté du serveur de domaine, l'utilisateur peut quand même se logguer sur le PC avec son MP du réseau, donc le MP doit bien être quelque part sur le PC !

As tu une piste ?

PasswordOne · Posté le: 03 Mar 2008 08:55 Sujet du message:

Bonjour Scroll3D,

Voici quelques explications techniques sur le stockage des mots de passe par Windows qui vont vous permettre d'y voir plus clair Cool

(enfin je l'espère Wink

) :

Extrait de l'article de Microsoft "Renforcement des contrôleurs de domaine Windows Server 2003" depuis http://www.microsoft.com/france/technet/securite/secmod120.mspx

Ouverture de session interactive : nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible)
Le paramètre Ouverture de session interactive : nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible) détermine si un utilisateur peut se connecter à un domaine Windows à l'aide des informations de compte se trouvant dans le cache. Il est possible de placer dans le cache local les informations d'ouverture de session pour qu'en cas d'impossibilité à contacter un contrôleur de domaine lors des connexions suivantes, un utilisateur puisse quand même ouvrir une session. Ce paramètre détermine le nombre d'utilisateurs uniques pour lesquels les informations de connexion sont placées dans le cache local.

Si un contrôleur de domaine n'est pas disponible et que les informations d'ouverture de session d'un utilisateur se trouvent dans le cache, l'utilisateur reçoit le message suivant :

« Le contrôleur de domaine pour votre domaine n'a pu être contacté. Vous avez été connecté en utilisant les informations cachées de votre compte. Les changements effectués sur votre profil depuis votre dernière session ne sont peut-être pas disponibles. »

Si un contrôleur de domaine n'est pas disponible et que les informations d'ouverture de session d'un utilisateur ne se trouvent pas dans le cache, l'utilisateur reçoit le message suivant :

« Le système n'a pas pu ouvrir de session car le domaine <DOMAIN_NAME> n'est pas disponible. »

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

• Nombre défini par l'utilisateur (entre 0 et 50 )

• Non défini

Vulnérabilité
Le nombre attribué à ce paramètre indique le nombre d'utilisateurs dont les informations d'ouverture de session sont placées dans le cache local par le serveur. Si ce nombre est défini sur 10, le serveur place dans le cache les informations d'ouverture de session se rapportant à 10 utilisateurs. Lorsqu'un onzième utilisateur ouvre une session sur l'ordinateur, le serveur écrase la session la plus ancienne.

Les informations d'identification des utilisateurs qui accèdent à la console du serveur sont placées dans le cache de ce serveur. Un pirate ayant accès au système de fichiers du serveur peut localiser ces informations cachées et avoir recours à une attaque brutale pour déterminer le mot de passe des utilisateurs.

Windows fait échec à ce type d'attaque en cryptant les informations et en conservant les informations cachées dans les Registres des systèmes qui se trouvent dans plusieurs emplacements physiques.

Contre-mesure
Définir nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible) sur 0. La définition de cette valeur sur 0 désactive la mise en cache locale des informations d'ouverture de session.

Parmi les contre-mesures supplémentaires, on peut mentionner la mise en vigueur de stratégies de mots de passe forts et la protection physique des ordinateurs.

Impact potentiel
Les utilisateurs ne pourront pas se connecter aux ordinateurs s'il n'existe pas de contrôleur de domaine pour les authentifier. Il est possible que les organisations définissent ce nombre à 2 pour les systèmes d'utilisateur final, notamment pour les utilisateurs nomades. Si la valeur est définie sur 2, les informations d'ouverture de session de l'utilisateur se trouvent encore dans le cache même si un membre du service informatique vient de se connecter sur son ordinateur pour effectuer la maintenance du système. De cette façon, l'utilisateur peut ouvrir une session sur son ordinateur lorsqu'il n'est pas connecté au réseau de l'entreprise.

Autre point extrait de l'article de Microsoft "Le cas de l'ordinateur portable volé : réduction des risques de vol d'équipement" depuis http://www.microsoft.com/france/technet/communaute/secmgmt/sm0205.mspx :

Mots de passe
Si votre ordinateur est lié à un domaine, chaque fois que vous le démarrez, vous devez entrer votre mot de passe réseau, et ce, même si vous êtes physiquement à l'extérieur du réseau d'entreprise. Votre ordinateur conserve un jeu d'« informations d'identification mises en cache » dans votre profil de compte, sur le disque dur ; c'est pourquoi vous devez vous authentifier pour pouvoir accéder à vos données. Ces informations d'identification sont d'abord hachées à l'aide de MD4, puis à l'aide de MD5 ; le second hachage crée ce qu'on appelle un « vérificateur de mot de passe ». Seul le vérificateur, très résistant aux falsifications, est stocké, protégé par la clé système de l'ordinateur.

Activation de la clé de démarrage du système
Chaque fois qu'un nouvel utilisateur est ajouté à un ordinateur, Windows DPAPI (Data Protection Application Programming Interface) génère une clé principale destinée à protéger toutes les autres clés privées utilisées par des applications et des services s'exécutant dans le contexte de cet utilisateur, telles que les clés EFS et les clés S/MIME. L'ordinateur possède également sa propre clé principale qui protège les clés système, telles que les clés IPsec, les clés d'ordinateur et les clés SSL. Toutes ces clés principales sont ensuite protégées par une clé de démarrage d'ordinateur. Lorsque vous démarrez un ordinateur, la clé de démarrage déchiffre les clés principales. La clé de démarrage protège également la base de données SAM locale sur chaque ordinateur, les informations confidentielles de l'autorité de sécurité locale (LSA, Local Security Authority) stockées sur l'ordinateur, les informations de compte stockées dans Active Directory, sur des contrôleurs de domaine, et le mot de passe du compte d'administrateur utilisé pour la récupération du système en mode sécurisé.

L'utilitaire SysKey vous permet de choisir l'emplacement de stockage pour cette clé de démarrage. Par défaut, l'ordinateur génère une clé aléatoire et la diffuse dans l'ensemble du Registre ; un algorithme complexe garantit l'utilisation d'un modèle de diffusion distinct à chaque installation de Windows. Deux autres choix s'offrent à vous : continuer à utiliser une clé générée par l'ordinateur, mais que vous allez stocker sur disquette, ou entrer, à chaque démarrage du système, un mot de passe qui sera utilisé pour déduire la clé principale. Vous pouvez toujours passer d'un mode à l'autre, mais si vous avez activé le mode clé sur disquette ou le mode mot de passe, et que vous perdez la disquette ou oubliez votre mot de passe, votre seule option de récupération consiste à utiliser une disquette de réparation pour restaurer le Registre à l'état précédant l'activation du mode SysKey. Vous perdrez toutes les autres modifications effectuées depuis. Pour modifier votre clé de démarrage, ouvrez une invite de commande, choisissez Démarrer | Exécuter, ou appuyez sur [Windows]+R, et entrez « syskey » pour exécuter l'utilitaire SysKey.

Le remplacement du mode SysKey par le mode mot de passe peut contribuer à protéger les données stockées sur les ordinateurs portables volés. Il ajoute une barrière supplémentaire entre un voleur et vos données stockées sur le disque dur. Les mots de passe SysKey peuvent comporter de 1 à 128 caractères ; je vous conseille d'en utiliser au moins 12. Le système EFS (pour protéger des données), associé aux mots de passe SysKey (une protection supplémentaire pour les clés EFS), peut rendre matériellement impossible l'accès à vos données par un intrus.