Hello Denis, Merci pour ta réponse :-)
Je connaissais déjà les liens que tu m'as donné. Malheureusement la KB que tu mentionnes ne résout pas le problème. En effet, le simple ajout de la clé de registre : UseLogonCredential (DWORD à 1) dans HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest permet toujours la récupération. Bien à toi, PA 2015-07-06 12:47 GMT-04:00 Denis Cardon <denis.car...@tranquil-it-systems.fr >: > Bonjour Pierre-Alexandre, > > Tout d'abord, vous devez savoir que mon code a été créé et est publié à >> des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de >> façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation >> de celui-ci. Vous pouvez l'essayer sur des machines qui vous >> appartiennent, toute utilisation non autorisée de celui-ci dans le but >> d'obtenir des accès non autorisés sont illégales. >> >> Ceci étant spécifié, passons aux choses sérieuses : >> >> J'ai créé un script PowerShell qui permet de révéler les mots de passes >> des utilisateurs logués ou s'étant logués (et machine non rebootée) >> d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8). >> >> Le script fonctionne différemment des outils WCE et Mimikatz. >> >> La décryption se fait dans le script sans appeler les .dlls de Windows >> qui s'en occupent pour le système. >> >> Il fonctionne également même si l'architecture du système cible est >> différente de la votre. >> >> Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici : >> http://sysadminconcombre.blogspot.ca...ws-memory.html >> < >> http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memory.html >> > >> > > Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec > la kb2871997 qui désactiver tous les types d'authentification hormis le > kerberos dans le lsass pour les utilisateurs du groupe "Protected Users". > Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de > mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le > wDigest, et consort... > > Pour plus d'information : > http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx > > La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, > ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des > mdp des utilisateurs "s'étant logués" précédemment. > > Le but ? Démontrer à quel point il est nécessaire de contrôler les accès >> à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs. >> > > 100% d'accord! > > Cordialement, > > Denis > > [1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket > > > > >> Bonne journée ! >> >> >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> >> > -- > Denis Cardon > Tranquil IT Systems > Les Espaces Jules Verne, bâtiment A > 12 avenue Jules Verne > 44230 Saint Sébastien sur Loire > tel : +33 (0) 2.40.97.57.55 > http://www.tranquil-it-systems.fr > >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
