[RESOLU] Maniere propre dechanger mdp local avec WAPT ?

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

04 juin 2018 - 17:59

Ha je n'avais pas compris pardon

On a bien un paquet qui fait ça en interne.

Le principe est le suivant, on chiffre avec la clé publique de chaque machine stocké dans l'inventaire wapt le nouveau mot de passe.

Chaque poste va pouvoir avec sa clé privé déchiffrer le mot de passe et appliquer celui-ci.au machine.

A savoir que la clé privé est accessible uniquement par les administrateurs locaux du poste. Donc seul les administrateurs locaux des postes pourrons lire le mot de passe. Ce couple de clé est présent dans wapt\private\

Une méthode BEAUCOUP plus propre reste d'utiliser laps
https://blogs.technet.microsoft.com/arn ... tion-laps/

Oui car avoir le même mot de passe local pour toute les machines reste quelque chose de pas très propre ...

Simon
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1364
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

05 juin 2018 - 11:18

Bonjour EricT,
erict a écrit : 04 juin 2018 - 16:51 Je comprends bien, mais ma demande du début était : changer le mot de passe admin du poste proprement, pas celui du service WAPT.

Bref, je vais continuer de passer par les GPO pour ça.
Est ce que vous pourriez expliciter comment vous faites cela avec des GPO? Ca m'intéresserait d'avoir une idée de comment vous le faites d'une manière "sécurisée". En effet, en dehors de LAPS, la seule manière à laquelle je pense serai de ré-utiliser les hashs kerberos partagé, ce qui n'est pas spécialement aisé.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

05 juin 2018 - 20:56

Étant donné que le sujet est intéressant j'ai fait un POC d'un laps version wapt :

https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt

Le principe est le suivant, il n'est pas bon d'avoir le même mot de passe administrateur sur toute les machines.

- Le paquet génère donc un mot de passe aléatoire, donne ce mot de passe au compte administrateur local.

Il chiffre ensuite celui-ci avec le certificat du paquet (le certificat de celui qui a créé le paquet)

Le mot de passe apparaît donc de manière chiffrer dans l'output du paquet dans la console.

Vous pouvez ensuite lire le mot de passe des machine avec votre clé privé avec la fonction print_all_password.


On va peut être voir pour intégrer quelque chose dans la console pour déchiffrer rapidement l'output d'un paquet. Cela permettrai de remonter facilement une donnée sensible a un administrateur wapt.

Sinon : https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
renaud.counhaye
Messages : 31
Inscription : 13 déc. 2017 - 11:45

29 juin 2018 - 13:15

J'aimerais proposer une solution alternative car j'ai le même problème.

Autant avoir un mot de passe identique pour la session admin n'est pas idéal, c'est ce qu'on aimerais obtenir pour un compte 'secondaire' pas appeler 'Administrateur'.
Ce compte est sur la plus part de nos machines avec le même nom, le seul soucis est que suivant la date de creation du compte les mot de passes changes et on s'y perd.

Pas moyen de passer par un domaine GPO ou un LPAS car certaines machines n'ont pas de domaine.

Mon idée est la suivante : permettre à WAPT de gèrer les packets chiffré / protéger par mot de passe.
L'extension du fichier est changée en .waptx et lorsque le paquet est déployer, le serveur renseigne au service client le code d'extraction définis au préalable sur le .ini du serveur ou pendant son setup.
Ce même code doit être indiquer lorsqu'on ferais un build-upload-encrypted en plus du code de la clef de chiffrement et du mot de passe admin serveur.
Ou bien pour facilité le process, le code d'extraction de déchiffrement serais le code admin serveur. Mais ça fait un security breach si la communication client-serveur peut être lue en claire.

Ainsi lorsque la personne X regarde dans son dossier cache ou dans son repo, et télécharge/ouvre un .waptx il est acceuillis avec une demande de mot de passe.
Protégeant ainsi le contenus du packet des regards indiscret ^__^

Cordialement,
Ren.
Renaud Counhaye
Technicien système réseaux
Central Functions Division
Ymagis Group
Image
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

30 juin 2018 - 10:48

Avez-vous essayer avec ceci :

https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt

F9 dans pyscripter génère le text chiffrer avec la clé publique de chaque poste. Vous retrouvez le text chiffrer dans le fichier encrypt-txt.json

Lors de l'installation, chaque poste va récupérer son entrée Chiffrer en fonction de son UUID. Il va ensuite pouvoir déchiffrer le text avec sa clé privée.


Dans votre exemple le serveur deviens un bien sensible puisque il possède le mot de passe.
(d’ailleurs ce mode de fonctionnement ne fonctionnerait plus pour les repo secondaire, qui sont de simple serveur http)
Verrouillé