nastaveni zabezpeceni W2K

[mISHA]

mam takovy problem. system w2k v nem dva uzivatele ( jeden s admin pravama > toho bych mirne omezil z duvodu moznosti zapomenuti prihlaseneho pocitace a druhy s omezenyma pravama a bez hesla ). potrebuji pocitac zabezpecit tak, aby druhy uzivatel nebyl schopen zadnych kroku k dostani se do uctu uzivatele 1. a zaroven aby nemohl spoustet z internetu ci jinym zpusobem dodane exe soubory ( krom tech, ktere jsou overene ).

proc to resim? jedna se o firemni pocitac s par udaji, ktere nejsou verejne a ted jsem zjistil, ze tam nekdo pro uzivatele 1. odstranil heslo ( coz by me samotneho zajimalo jak > nejsem hacker, ale vim, ze na to nejakej exploit existuje ).

vsiml, jsem si, ze je tu par lidi, kteri w2k celkem dobre ovladaji, proto bych byl rad za komplexni rady ( na netu je to prilis chaoticke ).

[ra]

- admina nejde omezit v zadnem administrovanem OS, vcetne w2k
- "uzivatel s omezenymy pravy" je vyraz z XP, dvoulitry maji krom admina jeste user, power user, guest a zadnej z nich nema sanci ve widlich nejak adstranit adminovo heslo

-user nema sanci se dostat do Doc and settings jinejch nez svojich

- pokud ma spoustet jen "spravne" .exe soubory je snadne to resit nastavenim zabezpeceni disku (slozek) - jenze stejne musi mit misto kam ma povoleno "zapisovat"+"cist a spoustet" = nahraje tam, co chce a taky to spusti - a vubec tato tematika smrdi a asi by bylo lepsi prostudovat Freudovu knihu "Paranoia podnikovych administratoru"

[mISHA]

hmmm tos mi moc neporadil. termin "uzivatel s omezenymi pravy" sem pouzil protoze ho chci omezit ( a nevztahuje se to k prednastavenym user/poweruser ).

paranoidni nejsem, bohuzel situace ( s jednim zamestnancem ) je takova.

a co do meneni hesla > rekni mi, jak je mozne, ze heslo bylo odstraneno? ( jedine vysvetleni je nejakej exploit > ovsem uz ho nemuzes nastavit zpet )

[ra]

nechtel sem rypat nebo tak neco, sorry
exploit na tohle primo ve winech pokud vim neni
odstraneni admin hesla AFAIK de pomoci bootu do nejakyho live distra linuxu a pomoct si prislusnym programkem - to bych moc netipoval pokud ten uzivatel neni fakt magor
nejstarsi exploit se menuje lidska hloupost a je ve vsech os, takze esi treba nebyl nekdo prihlasenej jako admin a nechal PC bez dozoru - nebo neco v tom smyslu

[mISHA]

pohoda

co do bootu v necem jinem > neni vylouceno ( radsi sem preventivne zadelal bednu a na nastavil heslo na bios ).

k tomu heslu > to beru, jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )

[jan555]

Za prvé - lokálního admina locknout a dát mu husto-heslo a ani jeden z uživatelů nesmí být ve skupině local admins. Další pokračování v local policy/domain policy/group policy - pro to je zásadní - je ten komp v doméně a v jaké?

S těma exáčema nevím, tohle se řeší standardně antivirem

[jan555]

pohoda

co do bootu v necem jinem > neni vylouceno ( radsi sem preventivne zadelal bednu a na nastavil heslo na bios ).

k tomu heslu > to beru, jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )

Jsi si tak jistej, že to heslo nikdo jiný neznal, nebo že to neudělal ten, kdo ho prokazatelně znal? (např. proto, aby ho nemusel zadávat, tohle známe ...)

[mISHA]

Administrator je pod heslem. toho druheho uzivatele zbavim administratora a dam mu jen poweruser, to je jasne. Co do domeny > ten pocitac je zapojen pres modem v netu, takze zadna sitovina.

ovsem jde mi o to, aby krom mnou povolenych exesouboru nemohl ani jeden uzivatel spustit nic jineho.

[mISHA]

Jsi si tak jistej, že to heslo nikdo jiný neznal, nebo že to neudělal ten, kdo ho prokazatelně znal? (např. proto, aby ho nemusel zadávat, tohle známe ...)

no hele je to majitel a ty soubory, ktere se chrani jsou prave jeho. takze tohle neni mozna ( stejne jako ze by to zrusil > pac to proste neumi )

heslo zna jen on. navic pokud bych znal cizi heslo, tak to rozhodne nebudu nejak menit ne? to bych byl sam proti sobe.

[jan555]

ovsem jde mi o to, aby krom mnou povolenych exesouboru nemohl ani jeden uzivatel spustit nic jineho.

Trochu jeliťácká odpověď - tohle určitě jde (ale chce to dost ladění), viděl jsem to, jen si teď za boha nemůžu vzpomenout, čím to udělat, sorry

[VOiD]

.... ze tam nekdo pro uzivatele 1. odstranil heslo ( coz by me samotneho zajimalo jak > nejsem hacker, ale vim, ze na to nejakej exploit existuje ).

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.

[mISHA]

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.

no protoze predpokladam, ze se vse delo na tom pocitaci asi jde o utok primo na miste.

btw jak nastavit moznost zakazu zapisu na FDD ve w2k? ( read only ).

[Rainbow]

Existuje na to několik nástrojů. Jedny využívají exploitu, při kterém je možno heslo vyresetovat (nedá se to udělat za běhu systému, musíš nabootovat z jiného média). Ty druhé použijí na SAM databázi bruteforce a heslo ti zjistí. Chce to však poměrně hodně času a výkonný systém a samozřejmě záleží na složitosti hesla.

AFAIK su tam nejake diery, ktore umoznuju spustit nejaky program s pravami administratora (mal som na to stiahnuty aj exploit, ale nejako mi to nefungovalo...). Niektory service pack to tusim odstranuje.
Ked je tam moznost nabootovat z ineho media, tak je cela bezpecnost v *** - napriklad si nakopirujes CMD.EXE namiesto logon screensaveru (uz neviem, ako sa to vola) a potom nabootujes a pockas na logon prompte, kym sa spusti "screensaver", samozrejme s pravami administratora...
A spustat programy z CDcka alebo diskety nie je ziadny problem.

[ripper]

jenze k vypnuti hesla potrebujes to heslo opetovne zadat! a pokud necham nalogovanej pocitac, tak mi to nepomuze k odstraneni hesla ( leda k prochazeni privilegovanych slozek )

s tim zakazem spousteni exacu nevim, ale pokud se nekdo zapomnel odhlasit z administratora, tak je to prece uplne snadny vypnout heslo - staci na command line napsat "control userpasswords2" a dat adminovi jiny heslo a pak ho uz samozrejme znas a vypnes ho s jeho znalosti

[mISHA]

pokud se nekdo zapomnel odhlasit z administratora, tak je to prece uplne snadny vypnout heslo - staci na command line napsat "control userpasswords2" a dat adminovi jiny heslo a pak ho uz samozrejme znas a vypnes ho s jeho znalosti

tak sem to jen pro zvedavost zkousel a hesla se tim nezbavim, takze tudy to udelat nemohl...

EDIT: nebo jsem alespon nezaregistroval zadnou zmenu ci interakci