Avant de commencer …

Fgdump va nous permettre d’extraire une base de compte Windows, qu’elle soit locale (le poste d’un utilisateur) ou partagée (comme un Active Directory par exemple)

Téléchargez Fgdump et décompressez le fichier fgdump.exe contenu dans l’archive dans C:\audit

La base de compte qui va être récupérée par fgdump sera cryptée ! C’est là qu’interviendra John The Ripper

Téléchargez John The Ripper et décompressez les fichiers contenu dans l’archive dans C:\audit, ça n’est pas obligatoire mais c’est plus pratique !

Récupérer la liste des comptes Active Directory

Grâce à fgdump nous allons pouvoir récupérer une copie des “hash” des password utilisateurs de tout un domaine.

Ouvrez une ligne de commande et naviguez vers le répertoire ou vous avez extrait fgdump.exe

Puis entrain la commande suivante:

fgdump.exe -h VotreServerAD -u CompteAdminDomain -p p4ssw0rd

ou VotreServerAD correspond à le nom ou l’adresse du serveur Active Directory.

Après quelques dizaines de secondes un fichier VotreServerAD.pwdump est généré. Il contient la liste des comptes utilisateurs de votre domaine ainsi que le mot de passe crypté en MD5.

Sélectionner les comptes à décrypter

Le décryptage d’un seul mot de passe peut durer très très très longtemps ! Parfois plusieurs heures selon la complexité d’un mot de passe …

je vous conseille donc d’éditer votre fichier VotreServerAD.pwdump afin de ne conserver que les comptes que vous souhaitez auditer.

Décrypter les mots de passe

L’étape suivante va consister à décrypter les mot de passe MD5 contenus dans le fichier généré précédemment

Pour cela ouvrez une ligne de commande et naviguez vers le répertoire contenant l’exécutable john-386.exe puis lancer la commande suivante:

john-386.exe VotreServerAD.pwdump

Le décryptage va alors commencer. Armez vous de patience ! Si un utilisateur à un mot de passe à 4 caractères cela va durer quelques secondes à peine, par contre à titre d’exemple il me faut 4 heures pour décrypter un mot de passe de 12 caractères dont 2 caractères spéciaux avec un P4 2.66 Ghz.

Pour visualiser les mot de passe qui ont été trouvés pendant le traitement ouvrez une nouvelle invite de commande et lancez la commande:

john-386.exe --show VotreServerAD.pwdump

Pour exporter le résultat dans un fichier .txt tapez la commande suivante:

john-386.exe --show VotreServerAD.pwdump >c:\exportpassword.txt

Mise en place

Tout d’abord il est nécessaire d’installer ces 2 freewares : WinSCP pour transférer le contenu de votre choix de votre serveur FTP vers votre station et 7-Zip pour compresser et archiver votre contenu afin de le conserver précieusement par la suite (versionning)

Une fois l’installation terminée vous allez créer avec votre éditeur de texte 2 fichiers que vous allez nommer respectivement LaunchBackup.bat et backupscript.txt et que vous allez sauvegarder dans un répertoire nommé C:\MesSauvegardes

Le fichier LaunchBackup.bat est le fichier batch principal qui contient le code suivant:

REM Mise en forme de la date et de l'heure afin de créer un TIMESTAMP
REM Le TIMESTAMP est une sorte d'étiquette que l'on ajoutera au nom
REM du répertoire de sauvegarde afin de le rendre "unique"
REM Une petite bidouille est nécessaire pour les heures inférieures à 10
REM Car elles ne contiennent qu'un seul chiffre

set hoffset=%time:~0,2%
if "%time:~0,1%"==" " set hoffset=0%time:~1,1%
set ddmmaa_hhmmss=%date:~0,2%%date:~3,2%%date:~6,4%_%hoffset%%time:~3,2%%time:~6,2%

REM On met en forme le futur nom de répertoire de sauvegarde
set backupdirectory=bck_%ddmmaa_hhmmss%

REM Maintenant on le créé
md %backupdirectory%

REM Et on rentre dedans afin qu'il soit répertoire actif
cd %backupdirectory%

REM On appelle notre scrip WINSCP nommé backupscript.txt
"c:\program files\winscp\winscp.com" /script:"c:\MesSauvegardes\backupscript.txt"

REM La copie est terminée, on peut sortir du répertoire en cours
cd..

REM Afin de le sauvegarder avec notre archiveur 7-ZIP
"c:\program files\7-Zip\7z.exe" a %backupdirectory%.zip %backupdirectory%

REM On peut maintenant supprimer le répertoire que l'on a copié
REM Car nous souhaitons uniquement conserver l'archive
rd /S /Q %backupdirectory%

Le fichier backupscript.txt est le fichier de script WinSCP qui sera appelé par LaunchBackup.bat afin de réaliser la connexion et le transfert du contenu désiré vers votre station de travail Windows. Il contient le code suivant:

# Début du script WinSCP
# Réponse automatique pendant l’exécution du script
# On sort en cas d’erreur
option batch on
option confirm off

# On se connecte à notre serveur FTP
# open login:password@nomduserveur.com
open ftplogin:motdepassesecret@adressedevotreftp

# On active le mode de transfert binaire
option transfer binary

# On télécharge l’arborescence de notre choix
# Qui sera stockée dans le répertoire actif définit dans le fichier BATCH
# Ici je télécharge le répertoire /site/images de mon serveur
get /site/images

# On se déconnecte
close

# Et on sort de WinSCP pour retourner dans le batch principal
exit

Démonstration du script

Nous pouvons donc passer à l’exécution du script LaunchBackup.bat afin de tester le fonctionnement.

Vous pouvez ajouter l’instruction pause à la fin de LaunchBackup.bat afin de diagnostiquer une éventuelle erreur … les fautes de frappes sont monnaie courante en scripting …

Tout semble bien se dérouler, si vous regarder dans C:\MesSauvegardes, les fichiers sont en cours de récupération dans un répertoire nommée bck_09042008_110657. Un TIMESTAMP a en effet été ajouté au nom du répertoire (09 Avril 2008 à 11h06m57s) afin d’identifier clairement la sauvegarde mais surtout de pouvoir conserver une multitude de versions de son site FTP.

Une fois la rapatriement des fichiers effectuer, le script passe à la dernière étape qui consiste à archiver le répertoire avec 7-Zip puis supprimer l’original. Comme vous pouvez le constater il ne nous reste plus que l’archive.

Vous pouvez maintenant créer un raccourci du fichier LaunchBackup.bat sur votre bureau ou votre barre de lancement rapide afin de lancer dès que vous le souhaitez votre sauvegarde.

De la même manière vous pouvez planifier une tâche Windows afin d’automatiser la sauvegarde de votre site FTP.

A vous de jouer !

The backup of the item is bad
Warning: %Email message% is a corrupt file. The file cannot verify
Unable to backup the attachment data associated with one or more messages.
Some messages and their attachments may have been deleted while the backup was already in progress.

Si un utilisateur n’a pas arrêté sa station de travail et n’a pas fermé Outlook, son fichier PST reste ouvert.

Backup Exec interprète le PST ouvert comme un fichier corrompu (corrupt file).

Voici une astuce pour empêcher le travail de sauvegarde de se terminer en erreur lorsqu’il rencontre un fichier PST ouvert.

1. Ouvrir Regedit
2. Aller dans HKEY_LOCAL_MACHINE\SOFTWARE\VERITAS\Backup Exec\Engine\Backup
3. Changer la valeur de la clé Fail Jobs On Corrupt Files de 1 à 0.
4. Redémarrer les services Backup Exec.