Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Cacher le compte administrateur - Ou renomé

Modérateurs : Modérateurs, Modérateurs_Systèmes

Cacher le compte administrateur - Ou renomé

Message par mimochasam » Jeu 26 Nov 2015, 18:58

Bonjour

Comment cacher le compte administrateur et/ou le renomé

L'idée renomer le compte administrateur et cacher le contenu grp admins du domain et les autres grp admin

Est-ce une bonne idée, solution et est ce dangereux pour le bon fonctionnement de l'AD ?

Merci
MB
Avatar de l’utilisateur
mimochasam
Novice
Novice
 
Message(s) : 14
Inscription : Mar 05 Déc 2006, 14:57

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 10:33

Quel est l'intérêt de les cacher?
Et oui y aura plein d'impact qui font un peu chier ensuite
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par mimochasam » Lun 30 Nov 2015, 11:09

Bonjour

L'interêt : Scénario Force Brute - Un utilisateur mal veillant tente de casser le mot de passe du compte administrateur avec une Attaque en Force

Comme le mot de passe de l'administrateur ne se vérouille jamais et que je n'ai pas d'outil permettant de mettre une alerte, comment faire pour se protéger de ce genre d'attaque ?

On me demande de renomer le compte Administrateur et moi je rajoute qu'il y a aucun interet de le renomer si on ne le cache pas. Car un utilisateur peut interroger l'AD et voir les membres du groupe Admins du domaine

J'imagine que je ne suis pas le seul à se poser ce genre de question !?

Dans l'attente de vos idées, remarques

ps : Par contre je veux bien la liste des impacts pourfaire remonter au plus haut niveau
Avatar de l’utilisateur
mimochasam
Novice
Novice
 
Message(s) : 14
Inscription : Mar 05 Déc 2006, 14:57

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 11:25

mimochasam a écrit :Bonjour

L'interêt : Scénario Force Brute - Un utilisateur mal veillant tente de casser le mot de passe du compte administrateur avec une Attaque en Force

Comme le mot de passe de l'administrateur ne se vérouille jamais et que je n'ai pas d'outil permettant de mettre une alerte, comment faire pour se protéger de ce genre d'attaque ?


Actives les mot de passe complexe et tu demandes une longueur minimale plus grande pour les comptes admins, tu sais combien de temps il faut pour réussir un brute force sur un compte AD quand tu as 10/12 caractères? Et tu sais que ca remonte dans les observateurs d'événement

Cacher un compte, un groupe, une GPO n'a aucun intérêt, et ca te fait des erreurs qui apparaissent un peu partout sans comprendre, par exemple des années plus tard tu (ou plutot un collégue) vas regarder des permissions NTFS et tu verra un GUID inconnu en plein milieu de la liste, tu va chercher un bon bout de temps pour débugguer car une appli te remonte des warnings (voir des erreurs) dans tout les sens à cause de ca.
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par mimochasam » Lun 30 Nov 2015, 11:36

Non combien de temps ?
je vais tenter sur ma maquette pour voir le type de log
J'aimerai bien avoir une alerte automatique tu as une idée, peut être en powershell qui extrait ce type de log et fait un petit mail journalier de combien de tentative il y a eu par jour ?
Je suis bien d'accord avec toi, mais je suis dans un cas imposé, mais je défends aussi ta thèse (c'est une connerie).
Avatar de l’utilisateur
mimochasam
Novice
Novice
 
Message(s) : 14
Inscription : Mar 05 Déc 2006, 14:57

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 11:45

Renommer le compte admin, ca ne tue personne et ca bloque les script kiddies

En revanche le cachage des comptes/groupes ca a des impacts partout et mettre en place des verrouillages de comptes est à manipuler avec des pincettes (attaque DOS)
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par mimochasam » Lun 30 Nov 2015, 12:08

D'après ce site mon mot de passse (équivalent !!) va mettre 18 ans à être craqué

https://www-ssl.intel.com/content/www/u ... rdwin.html
Avatar de l’utilisateur
mimochasam
Novice
Novice
 
Message(s) : 14
Inscription : Mar 05 Déc 2006, 14:57

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 13:37

mimochasam a écrit :D'après ce site mon mot de passse (équivalent !!) va mettre 18 ans à être craqué

https://www-ssl.intel.com/content/www/u ... rdwin.html

Eh oui, le brute force ne marche pas vraiment (à la différence de la télé), ce sont les attaques par dictionnaire qui fonctionne mieux

Statistiquement un brute force marchera, mais quand on me sort qu'il faut un an pour cracker un MDP et qu'on le change tout les 90 jours...
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 13:40

Pour revenir à un simple calcul statistique, disont qu'un caratère de mot de passe à 62 possibilité (A-Z minuscule/majuscule et les chiffres)

Si il faut une heure pour cracker un mot de passe de 5 caractères ca veux dire qu'il faudra 62 h pour 6 caractères, 3844h (160 jours) pour 7 , 238328 h (27 ans) pour 8 etc.

C'est le principe d'un calcul exponentiel.
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par kazer » Lun 30 Nov 2015, 13:42

mimochasam a écrit :D'après ce site mon mot de passse (équivalent !!) va mettre 18 ans à être craqué

https://www-ssl.intel.com/content/www/u ... rdwin.html

Pour rigoler j'ai mis mon mot de passe facebook
186980431101701 années :)
Guillaume DESFARGES Image Image Image
MCPTS Windows Server 2008/Virtualisation - MCITP: Enterprise Desktop Win7
MVP Directory Services (2004)/Security (2005-07)/Setup&Dep: Architecture (2008-15)/Cloud and Datacenter Management, Windows and Devices IT (2016)
Profil MVP - Articles - Transcript (ID: 661703 Pass: Gdesfarges) - Bibliographie
Supinfo Promo 2001
Avatar de l’utilisateur
kazer
First Lord
First Lord
 
Message(s) : 45470
Inscription : Ven 26 Oct 2001, 21:39
Localisation : Dans la grisaille de l'ile de france

Re: Cacher le compte administrateur - Ou renomé

Message par magnancc51 » Lun 30 Nov 2015, 14:50

mimochasam a écrit :D'après ce site mon mot de passse (équivalent !!) va mettre 18 ans à être craqué

https://www-ssl.intel.com/content/www/u ... rdwin.html


Pas mal ce lien :)
MCSA 2000/2003 Messagerie - MCSE 2000/2003 - MCITP Enterprise Administrator - MCTS Exchange 2010 - MCSA 2008/2012
Avatar de l’utilisateur
magnancc51
Keyboard Master
Keyboard Master
 
Message(s) : 5753
Inscription : Jeu 14 Oct 2004, 14:00
Localisation : Aix en Provence


Retour vers Gestion des Utilisateurs (et autres objets AD)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 4 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive