Contactez nous

[RESOLU] Maniere propre dechanger mdp local avec WAPT ?

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum

* Questions can be asked in English or in French. If the thread is started in English, stick to English, if it is started in French, stick to French.
* Vous pouvez poser vos questions en Français ou en Anglais. Si un sujet est commencé en français, merci de répondre en français. Si un sujet est commencé en anglais, merci de répondre en anglais.
* Please prefix of the title of the thread to [SOLVED] if it is solved.
* Merci de préfixer le titre du thread par [RESOLU] si il est résolu.

Ha je n'avais pas compris pardon

On a bien un paquet qui fait ça en interne.

Le principe est le suivant, on chiffre avec la clé publique de chaque machine stocké dans l'inventaire wapt le nouveau mot de passe.

Chaque poste va pouvoir avec sa clé privé déchiffrer le mot de passe et appliquer celui-ci.au machine.

A savoir que la clé privé est accessible uniquement par les administrateurs locaux du poste. Donc seul les administrateurs locaux des postes pourrons lire le mot de passe. Ce couple de clé est présent dans wapt\private\

Une méthode BEAUCOUP plus propre reste d'utiliser laps
https://blogs.technet.microsoft.com/arn ... tion-laps/

Oui car avoir le même mot de passe local pour toute les machines reste quelque chose de pas très propre ...

Simon
Bonjour EricT,
erict a écrit :
04 juin 2018, 16:51
Je comprends bien, mais ma demande du début était : changer le mot de passe admin du poste proprement, pas celui du service WAPT.

Bref, je vais continuer de passer par les GPO pour ça.
Est ce que vous pourriez expliciter comment vous faites cela avec des GPO? Ca m'intéresserait d'avoir une idée de comment vous le faites d'une manière "sécurisée". En effet, en dehors de LAPS, la seule manière à laquelle je pense serai de ré-utiliser les hashs kerberos partagé, ce qui n'est pas spécialement aisé.

Cordialement,

Denis
Étant donné que le sujet est intéressant j'ai fait un POC d'un laps version wapt :

https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt

Le principe est le suivant, il n'est pas bon d'avoir le même mot de passe administrateur sur toute les machines.

- Le paquet génère donc un mot de passe aléatoire, donne ce mot de passe au compte administrateur local.

Il chiffre ensuite celui-ci avec le certificat du paquet (le certificat de celui qui a créé le paquet)

Le mot de passe apparaît donc de manière chiffrer dans l'output du paquet dans la console.

Vous pouvez ensuite lire le mot de passe des machine avec votre clé privé avec la fonction print_all_password.


On va peut être voir pour intégrer quelque chose dans la console pour déchiffrer rapidement l'output d'un paquet. Cela permettrai de remonter facilement une donnée sensible a un administrateur wapt.

Sinon : https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
J'aimerais proposer une solution alternative car j'ai le même problème.

Autant avoir un mot de passe identique pour la session admin n'est pas idéal, c'est ce qu'on aimerais obtenir pour un compte 'secondaire' pas appeler 'Administrateur'.
Ce compte est sur la plus part de nos machines avec le même nom, le seul soucis est que suivant la date de creation du compte les mot de passes changes et on s'y perd.

Pas moyen de passer par un domaine GPO ou un LPAS car certaines machines n'ont pas de domaine.

Mon idée est la suivante : permettre à WAPT de gèrer les packets chiffré / protéger par mot de passe.
L'extension du fichier est changée en .waptx et lorsque le paquet est déployer, le serveur renseigne au service client le code d'extraction définis au préalable sur le .ini du serveur ou pendant son setup.
Ce même code doit être indiquer lorsqu'on ferais un build-upload-encrypted en plus du code de la clef de chiffrement et du mot de passe admin serveur.
Ou bien pour facilité le process, le code d'extraction de déchiffrement serais le code admin serveur. Mais ça fait un security breach si la communication client-serveur peut être lue en claire.

Ainsi lorsque la personne X regarde dans son dossier cache ou dans son repo, et télécharge/ouvre un .waptx il est acceuillis avec une demande de mot de passe.
Protégeant ainsi le contenus du packet des regards indiscret ^__^

Cordialement,
Ren.
Avez-vous essayer avec ceci :

https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt

F9 dans pyscripter génère le text chiffrer avec la clé publique de chaque poste. Vous retrouvez le text chiffrer dans le fichier encrypt-txt.json

Lors de l'installation, chaque poste va récupérer son entrée Chiffrer en fonction de son UUID. Il va ensuite pouvoir déchiffrer le text avec sa clé privée.


Dans votre exemple le serveur deviens un bien sensible puisque il possède le mot de passe.
(d’ailleurs ce mode de fonctionnement ne fonctionnerait plus pour les repo secondaire, qui sont de simple serveur http)