Trucchi e Suggerimenti

Reimpostazione password amministratore di dominio 2008 persa, dimenticata o hackerata


Mi è capitato che un dipendente risentito con il suo datore di lavoro abbia deliberatamente cambiato la password di amministratore del server aziendale non comunicandola a chi di dovere.

Mi è stato chiesto di recuperare o resettare la password in modo tale da garantire l'accesso a chi autorizzato.

Ho proceduto come segue:

1) Ho resettato la password dell'amministratore locale del server. Per farlo si possono utilizzare vari programmi. Io ho utilizzato Offline NT Password & Registry Editor che potete trovare all'indirizzo

http://pogostick.net/~pnh/ntpasswd/.

2) Una volta resettala la password di amministratore locale del server, avviate il server premendo il tasto F8 e scegliete la modalita di ripristino servizi di directory. Al login cambiate utente ed entrate come amministratore per la macchina locale.

3) recuperate i programmi srvany.exe e instsrv.exe che potete trovare nel resource kit di windows 2003 server (vanno benissimo anche per 2008).

4) create una cartella, io ho creato in c la cartella tmp (c:\tmp) dove copierete dentro srvany.exe instsrv.exe e il programma cmd.exe (%windir%\system32\cmd.exe)

5) eseguite il prompt dei comandi, andate in c:\tmp e inserite il seguente comando: instsrv password "c:\tmp\srvany.exe"

6) Eseguite regedit e andate sulla chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Password

7) Create una sottochiave Parameters e apritela.

8) Inserite i seguenti valori:

Nuovo Valore striga, nominatelo Application e inserite il seguente valore: c:\tmp\cmd.exe

Nuovo Valore striga, nominatelo AppParameters e inserite il seguente valore: /k net user administrator P@ssw0rd /domain

P@ssw0rd è la password che verrà assegnata all'utente administrator. Se l''utente amministratore fosse diverso, sostituite administrator con lo user id dell'amministratore del vostro sistema.

9) Eseguite Pannello di Controllo -> Strumenti di amministrazione -> Servizi

10) Cercate il servizio Password, apritelo, impostate la modalità d'avvio su automatico. Nel tab Connessione flaggate "Consenti al servizio di interagire con il desktop"

11) Riavviate il server normalmente

12) Al ctrl+alt+canc utilizzate l'account amministratore che avrete reimpostato e introducete la password P@ssw0rd come inserita nei registri.

13) Una volta che sarete entrati nel desktop, eseguite nuovamente il prompt dei comandi e digitate in sequenza i seguenti comandi:

net stop password

sc delete password

14) Utilizzando Utenti e computer di active directory modificate la password dell''utente nel solito modo (opzionale).


Un microserver buono per ogni occasione
Tecniche e strumenti di antiforensics