Recuperare la password di admin su PDC Win2003.

[frakka]

Einstein diceva che solo a due cose non c'è limite: all'universo ed alla stupidità umana ma che sull'universo aveva ancora dei dubbi. In questi giorni ne ho avuto la conferma...

Ho necessità di recuperare la password di administrator di un Primary Domain Controller AD con Windows2003 server. Qualcuno ha stupidamente cambiato la password ma a quanto pare nessuno conosce quella nuova.
Lasciamo stare i commenti su chi abbia fornito la vecchia password a chi o per quale motivo, non ne ho idea e di sicuro non sono stato io. Lasciamo perdere il fatto che non ci siano altri utenti administrator sulla macchina e che dalle policy sia stato disabilitato il login di qualunque utente che non sia administrator, quindi non posso loggarmi sulla macchina neppure con uno degli utenti di dominio, la macchina non l'ho installata io e non sò perchè all'epoca siano state fatte queste scelte.

Non posso fare il dump delle password perchè sui client gira un software antivirus in versione enterprise (gestito sempre dal server a cui non ho accesso) che elimina in automatico il tool che ho provato per recuperare gli hash dal registro (e comunque dovrei beccare proprio la macchina da cui è stata fatta la modifica, sempre che non sia stata fatta sul server stesso).
Ovviamente essendo un controller AD la password che mi serve non è nel database SAM, altrimenti sarebbe facile.


Ho trovato una procedura che potrebbe funzionare ma prima di metterla in pratica vorrei sapere se qualcuno ha esperienza in un recovery di questo tipo e quali problemi posso aspettarmi.

[parsifal]

Questo lo hai provato? E' uno dei tools inseriti in sardu tramite SRCD
Se hai un PE puoi provare anche questa utility, se ne parla maggiormente qui. Questa è in grado di creare un nuovo administrator. (parte del progetto sarduPE)

[frakka]

Purtroppo sì ma non è quello che mi serve.

Quei tool servono per resettare la password di un utente locale che windows salva nel database SAM. Purtroppo quella che a me serve è la password di administrator del dominio ActiveDirectory di cui la macchina è Domain Controller. In questa configurazione gli utenti locali non possono loggarsi quindi quelle password mi sono (più o meno) inutili.

Sò che win mantiene una copia dell'hash delle password degli utenti di dominio memorizzata in una chiave di registro sui client che si sono loggati al dominio per quando la rete non è raggiungibile. Una procedura è quella di fare il dump di quella chiave con un apposito tool e poi darla in pasto ad un password cracker per decifrare l'hash e ottenere la password in chiaro ma, siccome la password è stata cambiata da un abelinato (presumo) per sbaglio, per recuperarla dovrei sapere da quale macchina è stato fatto il danno sperando che non sia stato fatto da TS o dalla tastiera del server stesso.


Alcune procedure da eseguire direttamente sul server le ho trovate ma sono molto invasive, passano attraverso la modalità di ripristino dei servizi directory per cambiare la password dell'amministratore del dominio. Ma preferirei avere un'idea di che problemi posso aspettarmi nel caso si incarti qualcosa nella procedura.

[tHeGoOd]

Purtroppo sì ma non è quello che mi serve.
Sò che win mantiene una copia dell'hash delle password degli utenti di dominio memorizzata in una chiave di registro sui client che si sono loggati al dominio per quando la rete non è raggiungibile. Una procedura è quella di fare il dump di quella chiave con un apposito tool e poi darla in pasto ad un password cracker per decifrare l'hash e ottenere la password in chiaro ma, siccome la password è stata cambiata da un abelinato (presumo) per sbaglio, per recuperarla dovrei sapere da quale macchina è stato fatto il danno sperando che non sia stato fatto da TS o dalla tastiera del server stesso.

Se il problema e' l'accesso alla chiave del registro a causa del sw antivirus, penso che sia sufficiente avviare con un windows pe o un linux, prendere i file di registro e darli in pasto ad un programma tipo questo: Registry Tool: Windows registry editor, registry utility, registry repair editor, file management utility for 95 98 ME NT 4.0 2000 XP 2003 Vista . La versione e' demo ma funziona per 30 giorni (l'ho usata per recuperare delle informazioni da un file .dat di registro salvato).

Altrimenti se avvii con una versione pe particolare, come l'erd commander, se non sbaglio puoi attaccarti alla installazione locale e leggere/scrivere direttamente sul registro.

Una volta presi gli hash dai vari pc, se ne trovi solo uno diverso e' sicuramente quello l'hash malefico!

Buona fortuna

[frakka]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

[tHeGoOd]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

Speriamo!!!!!!!!!!!!!!!

[DevilOfHell]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

prova a usarlo ....
se funge ti permette di blankare la password di administrator in pochissimi secondi.
dopo di che avvi il sistema operativo con l'opzione "ripristino servizio active directory" e segui le istruzioni sulla guida allegata.