w2k3 admin jelszo feltorese + diginaplo biztonsagi res

SuliSupport sulisupport at kozhalo2.hu
2009. Május. 11., H, 15:18:51 CEST


 
>>>>>>
1, Helyi admin jelszót könnyű megszerezni (emlékeim szerint egy fájlt kell átmásolni, amit mondjuk egy linux live cd-vel meglehet tenni, abból pedig egy bruteforce jelszótörő programmal kiszedhetőek a helyi fiókok jelszavai). Feltörte belépett admin-ként.
<<<<<<
Bezony... Vannak olyan livecd-k amikről csak be kell bootolni és szó nélkül futtatja a jelszóvisszafejtést. 
A dolog egyébként több helyen publikálva van az interneten. Helyi fiókokhoz tartozó jelszavakat igen rövid idő alatt meglehet vele szerezni.

>>>>>>>>>>>>>
2, valami programot feltett a gépre, ami a következőt tudta: a tanár a teremben a tartományi rendszergazda fiókkal lép be, mert így kényelmes neki (tudom ez már hiba), a diák pedig egy programmal a hálózati forgalomból kiolvasott valamilyen kulcsot,tokent (ilyen szinten nem vagyok otthon a windows ezen részével, nem tudom hogy mi volt az pontosan, csak sejtéseim vannak :) ), és ezzel tartományi rendszergazdai jogokhoz jutott.
<<<<<<<<<<<<<

Na erről  énis szívesen olvasnék egy kicsit részletesebben.
Nem lehet, hogy a módszer inkább az volt, hogy local adminként bejelentkezett a gépre, keyloggert feltett, majd miután a tanár óvatlanságból belépett... ?
Én inkább ilyesmivel kísérleteznék első körben. Máskülönben mi szükség a localadmin jelszó megszerzésére, ha hálózati kapcsolat sniffelésével úgyis megszerzi a domainadmin pass-t.

>>>>>>>
A digitális naplót szeptembertől kezdjük el futtatni. A következő a
problémám: ha a bejelentkezés során így ellopható egy felhasználói fiók jogosultságai, akkor egy tanár épp belép a tanteremben, ellopják a jogait, később megváltoztatják a jelszavát, belépnek a digitális naplóba és azt tesznek amit akarnak.
<<<<<<<

Használd a védett szegmenst, szeparáld a diákok hálózatát a védendő gépektől. A digitális naplót csak ezen keresztül tedd hozzáférhetővé.

>>>>>>>>>>
Két kérdésem/kérésem lenne:
1, Az ehhez hasonló módszerekkel történő feltörés ellen hogyan lehet védekezni? Nem tekintem megoldásnak, hogy tartományi rendszergazda fiókkal nem lépünk be a hállózatra, mert ilyen módon akár egy tanár felhasználói hálózati fiókját is fellehet törni, és nemsokára indítjuk a digitális naplót.
<<<<<<<<<<

Tartományi rendszergazda jelszava legyen a rendszergazdának és pont. Igazgatóbácsi/néni se tudjon róla, legyen széfben elzárva meg az admin buksijában.

SuliSupport


További információk a(z) Techinfo levelezőlistáról