cache du mot de passe domaine

[hb]

Bonsoir, ce post est à la limite d'etre dans la rubrique securité, j'ai choisi Microsoft car l'OS en question est windows, mais bon ... <BR> <BR>voilà ma question : <BR>lorsqu'un portable (windows NT4,2000,XP Pro) membre du domaine se connecte à un reseau entreprise du dit domaine NT4 (voir AD mais je n'y suis pas encore) l'utilisateur du domaine accede à son portable, et le mot de passe est "copié" / "mis en cache" quelque part dans le portable. <BR> <BR>je cherche à savoir où afin de déterminer les "outils" existants pour écraser/retrouver ce mot de passe. <BR> <BR>mon but est de déterminer la "crackabilité" de ce mot de passe, afin d'évaluer les risques encourus. <BR> <BR>pour des raisons évidentes de sécurité, je remercie par avance les nouveaux membres de ne pas diffuser de noms de noms softs illegaux en clair, mais uniquement par MP, sinon le modo va s'énerver sur vous et sur moi

[bobybobus]

<BR>salut <BR> <BR>mot de passe de domaine mis en cache sur le portable !!!!???!!!! <BR>ais je bien compris ?! <BR> <BR>bin je crois que tu peux chercher longtemps, a la limite tu trouveras une clé crypto (qu'il partage avec le serveur KDC) dérivée du mot de passe mais pas plus ! <BR> <BR>Pour AD = Kerberos : <BR> <BR>quand un utilisateur , apres avoir fait ctr+alt+del, avoir mis son login et son mdp, il appuie sur entree (si si je vous jure), l'ordinateur envoie alors au KDC le plus proche, les informations de l'utilisateur + l'heure de l'ordi tout ca encodé avec la clé crypto, le service d'authentification du KDC valide l'utilisateur et lui envoie un TGT (Ticket Granting TIcket) <BR> <BR>avec ce TGT, il peut demander au KDC des TS (Tickets Services) pour acceder a un ordinateur particulier (il en demande meme un pour lui meme) <BR> <BR>Pour NT4 ca doit certainement utiliser NTLM v2, donc challenge, echange de cle cryptage et tout le toutim, puis le mot de passe est compare a la SAM du dc.. <BR> <BR>Donc dans tous les cas le mot de passse est pas stocke sur le portable!!!! <BR> <BR>a+ <BR> <BR> <BR> <BR> <BR> <BR> <BR>

[mozo]

Sous NT4, W2K ou WXP, les mots de passe des utilisateurs sont stockés sous forme cryptée dans une ruche de la br : KEY_LOCAL_MACHINESAMSAMDomainsAccountUsers. <BR>Attention, regedit ne permet normalement pas de voir ces lignes. <BR>Elles sont volontairement cachées par le système. <BR> <BR>

[hb]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-26 21:00, mozo a écrit: <BR>Sous NT4, W2K ou WXP, les mots de passe des utilisateurs sont stockés sous forme cryptée dans une ruche de la br : KEY_LOCAL_MACHINESAMSAMDomainsAccountUsers. <BR>Attention, regedit ne permet normalement pas de voir ces lignes. <BR>Elles sont volontairement cachées par le système. <BR> <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>cette info est tellement excellente que j'ai foncé tete baissée dessus.... <BR> <BR>malheureusement, j'y ai trouvé 11 clés (10 clés codées + 1 NAMES) <BR>et dans NAMES on trouve 10 clés en clair, chaque cle correspond à un de mes compte déclaré localement DOMMAGE.... <BR>mais rien qui corresponde à mon domaine NT, ni meme à mon compte du domaine. <BR>Mais je n'avais jamais preté attention à ce path, donc rien qu epour m'avoir fais decouvrir ça je te donne un <IMG SRC="images/smiles/icon_up.gif">