w2k3 admin jelszo feltorese + diginaplo biztonsagi res
Rácz Róbert
racz.robert at gmail.com
2009. Május. 12., K, 13:36:06 CEST
Kedves Techinfós kollégák!
Sokan sok mindent elmondtak már előttem de hátha tudok valami pluszt írni én is.
Általánosságban a védelem 3 szintje:
1. fizikai - nem lehet a teremben diák/idegen felügyelet nélkül
2. szoftveres intézkedések
3. kollégák és felettesek felvilágosítása - miért nem lehet egyikük sem a domain admins csoport tagja
1. ha ez nincs BIOS reset - bootol amiről akar, behozza a laptopot és matat a hálózaton... (itt jön be az IPsec)
2. Kihangsúlyozom, hogy a lenti nem elégséges, a többi intézkedés jó része is szükséges (pl. IPsec, BIOS jelszavas védelme stb.).
Ami még ilyen formában nem volt:
Különösen a Domain Admin jelszava legyen nagyon erős - akkor nem lehet Boot-olós CD/USB nyavalyákkal megtörni.
Ennek legegyszerűbb módja, hogy min. 15 karakter hosszúnak kell lennie!
http://support.microsoft.com/kb/299656/hu (cikk alja)
A cikkben ezen kívül nagyon sok hasznos dolog van a helyben tárolt jelszavakkal kapcsolatosan is!
Erős jelszavak létrehozásánál egy másik szabály, hogy ne értelmes szavakból álljon. Pl. kedvenc versrészletből rakd össze úgy, hogy minden szó első betűjét használod ("Még nyílnak a völgyben a kerti virágok" Mnaavakv - persze ez még így rövid).
Összefoglaló hasznos linkekkel:
http://www.netacademia.net/publikacio/konf/WinSecu.ppt
Összegezve - ez nem egy 1-2 órás "túl vagyok rajta" meló lesz, de hidd el érdemes foglalkozni pl. nyáron a dologgal.
3. ha baj van a számítógépek környékén, bűnbakot keresnek és rád verik a balhét :-( Ha nem harcolod ki magadnak a "pozíciódat" - értsd informatikai dolgokban még az igazgatónak is "parancsolj", nem lesznek nyugodt pillanataid. És visszakanyarodunk a 3-as pont első mondatához. A mi munkáknak van egy nemszeretem része - gyakran NEM-et kell mondani kollégáknak, feletteseknek is. Már nem tartanak annyira jó fejnek majd, de valamit valamiért.
U.i. Iskolai rendszergazdából lettem banki. Voltam méregdrága netakadémiás tanfolyamon - nem ér semmit, ha nem foglalkozol otthon/munkahelyeden a dolgokkal. Nem tanul senki az ember helyett (én is a tanfolyamoktól vártam a csodát, míg nem tapasztaltam a saját bőrömön az előbb leírtakat).
Jó tanulást mindnyájunknak
2R
-----Original Message-----
From: techinfo-bounces at lista.sulinet.hu [mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Kubanka Peter
Sent: Monday, May 11, 2009 1:55 PM
To: Techinfo
Subject: w2k3 admin jelszo feltorese + diginaplo biztonsagi res
Üdv!
Épp az imént derült ki, hogy az egyik diákunk megszerezte a hálózati
admin jelszót, netről letöltött program segítségével, 2 lépésben.
Mindig is tudtam hogy feltörhető a windows, de azt hogy ennyire
egyszerűen, nem, és főleg azt nem hogy az egyik diák megpróbálkozik
vele.
1, Helyi admin jelszót könnyű megszerezni (emlékeim szerint egy fájlt
kell átmásolni, amit mondjuk egy linux live cd-vel meglehet tenni,
abból pedig egy bruteforce jelszótörő programmal kiszedhetőek a helyi
fiókok jelszavai). Feltörte belépett admin-ként.
2, valami programot feltett a gépre, ami a következőt tudta: a tanár a
teremben a tartományi rendszergazda fiókkal lép be, mert így kényelmes
neki (tudom ez már hiba), a diák pedig egy programmal a hálózati
forgalomból kiolvasott valamilyen kulcsot,tokent (ilyen szinten nem
vagyok otthon a windows ezen részével, nem tudom hogy mi volt az
pontosan, csak sejtéseim vannak :) ), és ezzel tartományi
rendszergazdai jogokhoz jutott.
A digitális naplót szeptembertől kezdjük el futtatni. A következő a
problémám: ha a bejelentkezés során így ellopható egy felhasználói
fiók jogosultságai,
akkor egy tanár épp belép a tanteremben, ellopják a jogait, később
megváltoztatják a jelszavát, belépnek a digitális naplóba és azt
tesznek amit akarnak.
Két kérdésem/kérésem lenne:
1, Az ehhez hasonló módszerekkel történő feltörés ellen hogyan lehet
védekezni? Nem tekintem megoldásnak, hogy tartományi rendszergazda
fiókkal nem lépünk be a hállózatra, mert ilyen módon akár egy tanár
felhasználói hálózati fiókját is fellehet törni, és nemsokára indítjuk
a digitális naplót.
2, Ha valakinek vannak konkrét tapasztalatai windows feltörésekkel
kapcsolatban, esetleg linkek stb. kérném hogy küldjétek el nekem
magánban, vagy itt a listán, szeretném kicsit mélyebbre ásni magam
ebben a témában, mert csak úgy lehet az ilyeneket elkerülni, ha tudom
hogy milyen módszerek vannak.
További információk a(z) Techinfo levelezőlistáról