nastaveni zabezpeceni W2K

Printable View

27.04.2004, 11:57
mISHA

nastaveni zabezpeceni W2K

mam takovy problem. system w2k v nem dva uzivatele ( jeden s admin pravama > toho bych mirne omezil z duvodu moznosti zapomenuti prihlaseneho pocitace a druhy s omezenyma pravama a bez hesla ). potrebuji pocitac zabezpecit tak, aby druhy uzivatel nebyl schopen zadnych kroku k dostani se do uctu uzivatele 1. a zaroven aby nemohl spoustet z internetu ci jinym zpusobem dodane exe soubory ( krom tech, ktere jsou overene ).

proc to resim? jedna se o firemni pocitac s par udaji, ktere nejsou verejne a ted jsem zjistil, ze tam nekdo pro uzivatele 1. odstranil heslo ( coz by me samotneho zajimalo jak > nejsem hacker, ale vim, ze na to nejakej exploit existuje ).

vsiml, jsem si, ze je tu par lidi, kteri w2k celkem dobre ovladaji, proto bych byl rad za komplexni rady ( na netu je to prilis chaoticke ).
27.04.2004, 13:10
ra

- admina nejde omezit v zadnem administrovanem OS, vcetne w2k
- "uzivatel s omezenymy pravy" je vyraz z XP, dvoulitry maji krom admina jeste user, power user, guest a zadnej z nich nema sanci ve widlich nejak adstranit adminovo heslo

-user nema sanci se dostat do Doc and settings jinejch nez svojich

- pokud ma spoustet jen "spravne" .exe soubory je snadne to resit nastavenim zabezpeceni disku (slozek) - jenze stejne musi mit misto kam ma povoleno "zapisovat"+"cist a spoustet" = nahraje tam, co chce a taky to spusti - a vubec tato tematika smrdi a asi by bylo lepsi prostudovat Freudovu knihu "Paranoia podnikovych administratoru" :-)
27.04.2004, 13:19
mISHA

hmmm tos mi moc neporadil. termin "uzivatel s omezenymi pravy" sem pouzil protoze ho chci omezit ( a nevztahuje se to k prednastavenym user/poweruser ).

paranoidni nejsem, bohuzel situace ( s jednim zamestnancem ) je takova.

a co do meneni hesla > rekni mi, jak je mozne, ze heslo bylo odstraneno? ( jedine vysvetleni je nejakej exploit > ovsem uz ho nemuzes nastavit zpet )
27.04.2004, 13:28
ra

nechtel sem rypat nebo tak neco, sorry
exploit na tohle primo ve winech pokud vim neni
odstraneni admin hesla AFAIK de pomoci bootu do nejakyho live distra linuxu a pomoct si prislusnym programkem - to bych moc netipoval pokud ten uzivatel neni fakt magor
nejstarsi exploit se menuje lidska hloupost a je ve vsech os, takze esi treba nebyl nekdo prihlasenej jako admin a nechal PC bez dozoru - nebo neco v tom smyslu
27.04.2004, 13:32
mISHA

pohoda :wink:

co do bootu v necem jinem > neni vylouceno ( radsi sem preventivne zadelal bednu a na nastavil heslo na bios ).

k tomu heslu > to beru, jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )
27.04.2004, 13:33
jan555

Za prvé - lokálního admina locknout a dát mu husto-heslo a ani jeden z uživatelů nesmí být ve skupině local admins. Další pokračování v local policy/domain policy/group policy - pro to je zásadní - je ten komp v doméně a v jaké?

S těma exáčema nevím, tohle se řeší standardně antivirem :oops:
27.04.2004, 13:35
jan555

Citace:

Původně odeslal mISHA

pohoda :wink:

co do bootu v necem jinem > neni vylouceno ( radsi sem preventivne zadelal bednu a na nastavil heslo na bios ).

k tomu heslu > to beru, jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )

Jsi si tak jistej, že to heslo nikdo jiný neznal, nebo že to neudělal ten, kdo ho prokazatelně znal? (např. proto, aby ho nemusel zadávat, tohle známe ...)
27.04.2004, 13:37
mISHA

Administrator je pod heslem. toho druheho uzivatele zbavim administratora a dam mu jen poweruser, to je jasne. Co do domeny > ten pocitac je zapojen pres modem v netu, takze zadna sitovina.

ovsem jde mi o to, aby krom mnou povolenych exesouboru nemohl ani jeden uzivatel spustit nic jineho.
27.04.2004, 13:41
mISHA

Citace:

Původně odeslal jan555

Jsi si tak jistej, že to heslo nikdo jiný neznal, nebo že to neudělal ten, kdo ho prokazatelně znal? (např. proto, aby ho nemusel zadávat, tohle známe ...)

no hele je to majitel a ty soubory, ktere se chrani jsou prave jeho. takze tohle neni mozna ( stejne jako ze by to zrusil > pac to proste neumi :wink: )

heslo zna jen on. navic pokud bych znal cizi heslo, tak to rozhodne nebudu nejak menit ne? to bych byl sam proti sobe.
27.04.2004, 13:41
jan555

Citace:

Původně odeslal mISHA

ovsem jde mi o to, aby krom mnou povolenych exesouboru nemohl ani jeden uzivatel spustit nic jineho.

Trochu jeliťácká odpověď - tohle určitě jde (ale chce to dost ladění), viděl jsem to, jen si teď za boha nemůžu vzpomenout, čím to udělat, sorry :oops:
27.04.2004, 19:52
VOiD

Re: nastaveni zabezpeceni W2K

Citace:

Původně odeslal mISHA

.... ze tam nekdo pro uzivatele 1. odstranil heslo ( coz by me samotneho zajimalo jak > nejsem hacker, ale vim, ze na to nejakej exploit existuje ).

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.
27.04.2004, 20:06
mISHA

Re: nastaveni zabezpeceni W2K

Citace:

Původně odeslal VOiD

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.

no protoze predpokladam, ze se vse delo na tom pocitaci asi jde o utok primo na miste.

btw jak nastavit moznost zakazu zapisu na FDD ve w2k? ( read only ).
27.04.2004, 20:14
Rainbow

Re: nastaveni zabezpeceni W2K

Citace:

Původně odeslal VOiD

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.

AFAIK su tam nejake diery, ktore umoznuju spustit nejaky program s pravami administratora (mal som na to stiahnuty aj exploit, ale nejako mi to nefungovalo...). Niektory service pack to tusim odstranuje.
Ked je tam moznost nabootovat z ineho media, tak je cela bezpecnost v *** - napriklad si nakopirujes CMD.EXE namiesto logon screensaveru (uz neviem, ako sa to vola) a potom nabootujes a pockas na logon prompte, kym sa spusti "screensaver", samozrejme s pravami administratora...
A spustat programy z CDcka alebo diskety nie je ziadny problem.
27.04.2004, 20:31
ripper

Citace:

Původně odeslal mISHA

jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )

s tim zakazem spousteni exacu nevim, ale pokud se nekdo zapomnel odhlasit z administratora, tak je to prece uplne snadny vypnout heslo - staci na command line napsat "control userpasswords2" a dat adminovi jiny heslo a pak ho uz samozrejme znas a vypnes ho s jeho znalosti :wink:
28.04.2004, 00:56
mISHA

Citace:

Původně odeslal ripper

pokud se nekdo zapomnel odhlasit z administratora, tak je to prece uplne snadny vypnout heslo - staci na command line napsat "control userpasswords2" a dat adminovi jiny heslo a pak ho uz samozrejme znas a vypnes ho s jeho znalosti :wink:

tak sem to jen pro zvedavost zkousel a hesla se tim nezbavim, takze tudy to udelat nemohl...

EDIT: nebo jsem alespon nezaregistroval zadnou zmenu ci interakci