AD: password in clear text? - Serversoftware en clouddiensten

maandag 30 november 2009 18:09

Acties:

Topicstarter

Ik ben onlangs bij een nieuwe klant een file tegengekomen waar alle paswoorden van alle AD users in staken in clear text.
Unencrypted dus.
Deze file wordt volgens mij manueel up to date gehouden, aangezien het nu niet meer gebeurd nu de oude sysadmin weg is. Realtime is het dus zeker ook niet.

Kan iemand mij zeggen waar ik moet zoeken hoe dit gebeurd?

maandag 30 november 2009 18:11

Acties:

Weiman

Bij de oude sysadmin? Dit klinkt namelijk gewoon alsof hij dit lijstje gewoon zelf voor het gemak aangemaakt heeft. (bad practice..)

maandag 30 november 2009 18:18

Acties:

aCCuReRaS

Topicstarter

Weiman schreef op maandag 30 november 2009 @ 18:11:
Bij de oude sysadmin? Dit klinkt namelijk gewoon alsof hij dit lijstje gewoon zelf voor het gemak aangemaakt heeft. (bad practice..)

neen, het werd systematisch geupdate, want de support afdeling kon in de file kijken voor de paswoorden op te vragen.
Jammer genoeg kan ik het de oude sysadmin niet meer vragen...

maandag 30 november 2009 18:47

Acties:

elevator

Officieel moto fan :)

Je zegt net dat het manueel bijgehouden werd, dan ehm, werd het dus toch door iemand bij gehouden? Als iedereen zegt dat hun het niet deden, dan zal het wel de vertrokken sysadmin zijn lijkt me?

maandag 30 november 2009 19:30

Acties:

Tags NL

Harmful or Harmless?

Konden gebruikers soms hun eigen wachtwoorden niet wijzigen waardoor ze steeds hetzelfde initieele wachtwoord hielden wat dus genoteerd kon worden?

https://powershellisfun.com

maandag 30 november 2009 19:45

Acties:

aCCuReRaS

Topicstarter

-={Fred_Perry}=- schreef op maandag 30 november 2009 @ 19:30:
Konden gebruikers soms hun eigen wachtwoorden niet wijzigen waardoor ze steeds hetzelfde initieele wachtwoord hielden wat dus genoteerd kon worden?

neen, er zitten geen beperkingen op het wijzigen van wachtwoorden. Ik vermoed dat hij een script ofzo liet lopen waardoor de clear text file werd geupdate met alle paswoorden van de users.

maandag 30 november 2009 20:02

Acties:

elevator

Officieel moto fan :)

http://blog.teusink.net/2...red-using-reversible.html en daarna http://blog.teusink.net/2...-using-reversible_26.html een dit zou de tool moeten zijn: http://blog.teusink.net/2009/08/revdump-v02-release_15.html

Zelf geen ervaring mee overigens

[ Voor 7% gewijzigd door elevator op 30-11-2009 20:02 ]

maandag 30 november 2009 20:18

Acties:

akimosan

Controleer dan of "Store passwords using reversible encryption" aanstaat voor specifieke accounts of als Policy

http://technet.microsoft..../cc784581%28WS.10%29.aspx

Ga dan nog eens na of dat een vereiste is en zo niet zorg dan als de sodeju dat het uitstaat. Iemand met voldoende kennis en lef kan met wat tools inderdaad de wachtwoorden achterhalen dan. Bedenk dat als jij het kunt, dat een ander het ook kan.

Er zijn verschillende tools om reversible encryption passwords te dumpen.

maandag 30 november 2009 22:18

Acties:

aCCuReRaS

Topicstarter

akimosan schreef op maandag 30 november 2009 @ 20:18:
Controleer dan of "Store passwords using reversible encryption" aanstaat voor specifieke accounts of als Policy

http://technet.microsoft..../cc784581%28WS.10%29.aspx

Dat staat dus niet aan...
In de userParameters zit ook niets wat er op wijst dat dit aan staat/stond.

Nog iemand suggesties?

maandag 30 november 2009 22:37

Acties:

Tags NL

Harmful or Harmless?

aCCuReRaS schreef op maandag 30 november 2009 @ 22:18:
[...]

Dat staat dus niet aan...
In de userParameters zit ook niets wat er op wijst dat dit aan staat/stond.

Nog iemand suggesties?

Is er een website binnen het bedrijf waarbij de gebruikers nogmaals moeten aanloggen? Zo ja, dan heeft hij dat misschien gebruikt om de wachtwoorden te achterhalen?

https://powershellisfun.com

maandag 30 november 2009 22:47

Acties:

CXNeXo

This behavior is by design.

Dit moet je niet willen. Het wachtwoord van een gebruiker hoort alleen de gebruiker te weten. Als sysadmin dien je zorg te dragen dat dit wachtwoord geheim blijft. Mocht er een noodzaak zijn om in te loggen als de user doe je dit alleen na goedkeuring gebruiker of zijn manager. Het wachtwoord is altijd makkelijk te resetten, de user weet dan ook gelijk dat er iets met zijn account gebeurd is....

Ben ik nou de enige die hier zo over denkt? Ik weet niet precies hoe het met de privacy van je gebruikers gesteld is maar ik zou me hier toch ernstig zorgen over gaan maken

MCSE on Windows 2003 & VMware Certified Professional

maandag 30 november 2009 22:57

Acties:

aCCuReRaS

Topicstarter

Er is geen site waar gebruikers moeten aanloggen.
Ik maak me ook sterke zorgen over de privacy.

Vandaar dat ik de oorzaak probeer te achterhalen om zo het lek te dichten.
Onbegrijpelijk dat iemand zoiets alleen al maar verzint...

maandag 30 november 2009 23:04

Acties:

Verwijderd

Je hoeft helemaal niet de oorzaak te weten, je hoeft alleen maar te zorgen dat jij je werk goed doet. Dat betekent dat je nooit wachtwoorden van gebruikers in plain text mag opslaan, tenzij jij de wachtwoorden genereert. Zodra een gebruiker zijn wachtwoord verandert, hoort alleen die gebruiker het wachtwoord te weten.

dinsdag 1 december 2009 11:48

Acties:

alt-92

ye olde farte

Verwijderd schreef op maandag 30 november 2009 @ 23:04:
Je hoeft helemaal niet de oorzaak te weten, je hoeft alleen maar te zorgen dat jij je werk goed doet.

Onderdeel van je werk goed doen is toch ook echt de oorzaak achterhalen van het feit dat er plaintext passwords zijn te vinden van je AD users.
Iets met wijd openstaande schuurdeuren sluiten enzo

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device