Recuperare la password di admin su PDC Win2003.

[frakka]

Einstein diceva che solo a due cose non c'è limite: all'universo ed alla stupidità umana ma che sull'universo aveva ancora dei dubbi. In questi giorni ne ho avuto la conferma...

Ho necessità di recuperare la password di administrator di un Primary Domain Controller AD con Windows2003 server. Qualcuno ha stupidamente cambiato la password ma a quanto pare nessuno conosce quella nuova.
Lasciamo stare i commenti su chi abbia fornito la vecchia password a chi o per quale motivo, non ne ho idea e di sicuro non sono stato io. Lasciamo perdere il fatto che non ci siano altri utenti administrator sulla macchina e che dalle policy sia stato disabilitato il login di qualunque utente che non sia administrator, quindi non posso loggarmi sulla macchina neppure con uno degli utenti di dominio, la macchina non l'ho installata io e non sò perchè all'epoca siano state fatte queste scelte.

Non posso fare il dump delle password perchè sui client gira un software antivirus in versione enterprise (gestito sempre dal server a cui non ho accesso) che elimina in automatico il tool che ho provato per recuperare gli hash dal registro (e comunque dovrei beccare proprio la macchina da cui è stata fatta la modifica, sempre che non sia stata fatta sul server stesso).
Ovviamente essendo un controller AD la password che mi serve non è nel database SAM, altrimenti sarebbe facile.


Ho trovato una procedura che potrebbe funzionare ma prima di metterla in pratica vorrei sapere se qualcuno ha esperienza in un recovery di questo tipo e quali problemi posso aspettarmi.

[parsifal]

Questo lo hai provato? E' uno dei tools inseriti in sardu tramite SRCD
Se hai un PE puoi provare anche questa utility, se ne parla maggiormente qui. Questa è in grado di creare un nuovo administrator. (parte del progetto sarduPE)

[frakka]

Purtroppo sì ma non è quello che mi serve.

Quei tool servono per resettare la password di un utente locale che windows salva nel database SAM. Purtroppo quella che a me serve è la password di administrator del dominio ActiveDirectory di cui la macchina è Domain Controller. In questa configurazione gli utenti locali non possono loggarsi quindi quelle password mi sono (più o meno) inutili.

Sò che win mantiene una copia dell'hash delle password degli utenti di dominio memorizzata in una chiave di registro sui client che si sono loggati al dominio per quando la rete non è raggiungibile. Una procedura è quella di fare il dump di quella chiave con un apposito tool e poi darla in pasto ad un password cracker per decifrare l'hash e ottenere la password in chiaro ma, siccome la password è stata cambiata da un abelinato (presumo) per sbaglio, per recuperarla dovrei sapere da quale macchina è stato fatto il danno sperando che non sia stato fatto da TS o dalla tastiera del server stesso.


Alcune procedure da eseguire direttamente sul server le ho trovate ma sono molto invasive, passano attraverso la modalità di ripristino dei servizi directory per cambiare la password dell'amministratore del dominio. Ma preferirei avere un'idea di che problemi posso aspettarmi nel caso si incarti qualcosa nella procedura.

[tHeGoOd]

Purtroppo sì ma non è quello che mi serve.
Sò che win mantiene una copia dell'hash delle password degli utenti di dominio memorizzata in una chiave di registro sui client che si sono loggati al dominio per quando la rete non è raggiungibile. Una procedura è quella di fare il dump di quella chiave con un apposito tool e poi darla in pasto ad un password cracker per decifrare l'hash e ottenere la password in chiaro ma, siccome la password è stata cambiata da un abelinato (presumo) per sbaglio, per recuperarla dovrei sapere da quale macchina è stato fatto il danno sperando che non sia stato fatto da TS o dalla tastiera del server stesso.

Se il problema e' l'accesso alla chiave del registro a causa del sw antivirus, penso che sia sufficiente avviare con un windows pe o un linux, prendere i file di registro e darli in pasto ad un programma tipo questo: Registry Tool: Windows registry editor, registry utility, registry repair editor, file management utility for 95 98 ME NT 4.0 2000 XP 2003 Vista . La versione e' demo ma funziona per 30 giorni (l'ho usata per recuperare delle informazioni da un file .dat di registro salvato).

Altrimenti se avvii con una versione pe particolare, come l'erd commander, se non sbaglio puoi attaccarti alla installazione locale e leggere/scrivere direttamente sul registro.

Una volta presi gli hash dai vari pc, se ne trovi solo uno diverso e' sicuramente quello l'hash malefico!

Buona fortuna

[frakka]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

[tHeGoOd]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

Speriamo!!!!!!!!!!!!!!!

[TheMic]

Interessante problema... mi segno alla discussione perché son davvero curioso di capire se c'è una soluzione... e poi non si sa mai in futuro... ^_^

[frakka]

Il tool è WinKey Enterprise di passware. Permette di creare un supporto bootabile (cd-rom, floppy, pendrive usb) partendo dai file di boot di un disco di setup di win. Permette di integrare i necessari driver SATA/SAS/SCSI per rilevare l'array raid (in stile nLite).


L'ho testata su una macchina reale (il mio muletto dell'ufficio, WinXP pro a dominio) e, in virtual machine, su un Win2003 server SP1 configurato come PDC di un dominio messo su fresco fresco per l'occasione. La demo permette di resettare solo una password di test ma per vederlo in azione è sufficiente.

Sulla workstation, dopo il boot dell'installer di windows, invece del setup parte una semplicissima procedura guidata che identifica l'installazione a cui si vuole accedere e carica il database SAM delle password. In questa configurazione ovviamente non compaiono gli utenti di dominio (sarebbe inutile fare una procedura del genere su un client per recuperare la password di accesso al dominio, se si ha accesso al server...)

Se invece rileva che la macchina è configurata come controller di dominio tralascia il database SAM e aggancia quello corretto (non ricordo come si chiama). Immaginate il mio sollievo quando ho visto comparire tra gli account rilevati e resettabili "administrator"!!!!
Selezionata la voce corretta ho lasciato la password vuota e riavviato il sistema. Al reboot mi sono potuto loggare come Amministratore di dominio lasciando vuoto il campo password. Tutto ok!!!



Tempo necessario? Boh, forse due minuti...
Salvo imprevisti, all'inizio della prossima settimana si attacca il server vero.


In alternativa si può usare una procedura manuale che ho trovato su internet, ma non l'ho testata. Vedrò di linkarla domattina, dall'ufficio.
Leggendola capirete perchè, dovendo accedere ad un server che devo spegnere staccando la corrente (e che è già stato spento così più volte!!! ), senza sapere da quanto tempo un backup completo non và a buon fine, etc... preferisco che quei pirloni sgancino 300$ per una licenza che useranno una volta e (spero!) mai più!

[DevilOfHell]

Infatti, la ditta non è enorme ma sono comunque diverse decine di pc.

Forse ho trovato un tool (commerciale ma sono c@zzi loro!) da applicare direttamente sul server che fà al caso mio. Ne stò testando una versione di prova ma se funziona come promette vale tutto quello che costa.

prova a usarlo ....
se funge ti permette di blankare la password di administrator in pochissimi secondi.
dopo di che avvi il sistema operativo con l'opzione "ripristino servizio active directory" e segui le istruzioni sulla guida allegata.

[frakka]

....
ti permette di blankare la password di administrator in pochissimi secondi.
dopo di che avvi il sistema operativo con l'opzione "ripristino servizio active directory" e segui le istruzioni sulla guida allegata.

Perfetto, è esattamente quella la guida che ho trovato su internet.
Credo che far pagare i 300$ della licenza a quei pirloni sarà molto più utile e molto più salutare per me...