magnum42
Messages postés10Date d'inscriptionmercredi 30 juillet 2003StatutMembreDernière intervention 7 avril 2009
-
7 avril 2009 à 16:24
jmf0
Messages postés1566Date d'inscriptionmardi 26 décembre 2000StatutMembreDernière intervention 5 avril 2013
-
7 avril 2009 à 23:37
Bonjour,
Petite explication du contexte : Dans la société dans laquelle je travaille, les utilisateurs ouvrent une session Windows en insérant leur carte à puce dans le lecteur. Ils tapent leur code PIN, et la carte envoie automatiquement leur login/password du domaine pour authentification au DC. La plupart ne connaissent même plus leur password.
Alors on me demande de faire un script (qui sera inclu dans le loginscript) qui (en fonction de la date du dernier changement du pass), change le password du compte Windows avec un nouveau pass généré aléatoirement.
"Tranquille ..." Premiers tests en VBS avec ADSI (c'est mon dada); je n'arrive même pas à changer mon pass! Avec la mire (Ctrl+Alt+Suppr -> Change password), ca passe très bien.
J'en déduit que cela vient de la carte. De là, j'installe VB2008 Express, je me lance sur toutes les fonctions que je trouve dans les DLL's concernés par la carte, .... et je n'en peux plus ! J'ai maintenant un super script qui me dit si oui ou non une carte est insérée dans le lecteur ! Je suis bien avancé.
DONC : Comment faire pour changer le password du compte Windows de l'utilisateur, sachant qu'il est stocké également sur la puce de la carte? L'idéal serait sans intervention de l'utilisateur, donc sans besoin de son ancien pass. Mais je suis ouvert à toute proposition.
Merci aux courageux qui ont lu mon roman (et qui me répondront:-) ) ....
magnum42
Messages postés10Date d'inscriptionmercredi 30 juillet 2003StatutMembreDernière intervention 7 avril 2009 7 avril 2009 à 16:49
Oui, vu comme ca...
Bon, déjà, c'est seulement le pass du compte que l'on utilise et pas celui d'un autre.
Sinon je pourrai également le changer avec un compte admin, mais le problème n'est pas là, mais vis-à-vis de la carte. Et si tu as une solution en fournissant l'ancien pass je suis ok.
jmf0
Messages postés1566Date d'inscriptionmardi 26 décembre 2000StatutMembreDernière intervention 5 avril 20138 7 avril 2009 à 17:32
Seul le responsable sécurité (et il n'est pas forcment un des administrateurs du système) de ton entreprise est à même de répopndre à ta question.
Il existe forcément un logiciel d'installation des cartes (qu'il a bien fallu utiliser au départ, non ?).
Si ce logiciel est bien fait, il est lui-même protégé en utilisation par un mot de passe
Le reste (modification de la carte) est un problème matériel (et on ne connait pas tes cartes). Ou elle sont "Re-Write" (par le logiciel d'installation) ou non.
Bien que le systè-me de "sécurité" que tu décris me paraisse assez léger (s'il suffit d'insérer une carte pour être "loggé") dès lors qu'il ne met à l'abri : ni d'une perte, ni d'un vol, ni d'un "emprunt" !!!
Le responsable sécurité devrait arriver à cette seule décision acceptable :
1) Destruction de l'utilisateur
2) recréation de l'utilisateur et :
- si carte "re-wriotable" : réécriture de la carte (à l'aide du logiciel ad hoc)
- si non re-writable : attribution d'une nouvelle carte (à l'aide du logiciel ad hoc également)
magnum42
Messages postés10Date d'inscriptionmercredi 30 juillet 2003StatutMembreDernière intervention 7 avril 2009 7 avril 2009 à 19:01
Bon, en fait je suis admin système Windows (mais je débarque tout juste dans cette société).
Concernant la sécurité, les utilisateurs utilisent le code PIN de leur carte pour se logguer (oui c'est léger...).
Mais il faut tout de même le code PIN de la carte pour que cette dernière envoie les infos d'athentification (stockées sur la puce) au DC pour ouvrir une session.
Je ne cherche pas un code pour modifier la carte directement, mais j'ai constaté qu'en utilisant du code vbs pour modifier mon pass windows (on ignorer totalement l'existence de cette carte) ne fonctionne pas. Alors que j'ai le droit de modifier mon pass.
Donc j'en déduit que cela vient de la carte. Existe-t-il un code (vbs ou autre) pour changer son pass windows, mais en sachant qu'en quelque sorte, GINA est remplacé/géré par l'authetification de cette carte.
[Les admins m'on fourni des dll's avec plein de fonctions d'accès à la carte, mais aucune concernant un changement de pass]
Franck
Vous n’avez pas trouvé la réponse que vous recherchez ?
jmf0
Messages postés1566Date d'inscriptionmardi 26 décembre 2000StatutMembreDernière intervention 5 avril 20138 7 avril 2009 à 23:37
Une autre (et dernière) fois : ce n'est pas aux "admins" du système, que tu dois t'adresser, mais à la personne en charge de la sécurité de ton entreprise (que cette personne soit par ailleurs ou non "admin système") !!!
Si, maintenant, tu veux shunter le contrôle de la carte, tu le peux, en intervenant sur le ource de l'application de contrôle puis en recompilant ce source.
Et si tu n'as pas accès au source, c'est pour une raison. Demande cette raison au responsable de la scurité, pas à un "admin système"...