Local Security Authority Secrets
Модератор: Модераторы
Сообщений: 2
• Страница 1 из 1
AlexLAV » 22 авг 2006, 18:54
Итак - имеем домен 2003
DC по бедности работает как TS
Ну и в целях обслуги приходиться за локальными станциями (XP sp2) логиниться домайнадмином - не вопрос потом патом PWDump какой нить запустить умельцу то... а то и траяна на DC...
Завелся сволочь - который дампы паролей взламывает.
Расскажите кто знает КАК защтить домен если к нему у юзера доступ с правами юзера - или даже локального админа.
Думаю что есть решение - кто нить ДЕЛАЛ?
поделитесь
СПАСИБЫ!
DC по бедности работает как TS
Ну и в целях обслуги приходиться за локальными станциями (XP sp2) логиниться домайнадмином - не вопрос потом патом PWDump какой нить запустить умельцу то... а то и траяна на DC...
Завелся сволочь - который дампы паролей взламывает.
Расскажите кто знает КАК защтить домен если к нему у юзера доступ с правами юзера - или даже локального админа.
Думаю что есть решение - кто нить ДЕЛАЛ?
поделитесь
СПАСИБЫ!
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 23 авг 2006, 10:30
| Цитата |
| Ну и в целях обслуги приходиться за локальными станциями (XP sp2) логиниться домайнадмином
[/quote] Пользователь по определению не должен иметь прав локального администратора ни на TS, ни на рабочей станции. Не логинтесь домен админом, создайте учетку саппорта в домене с нужными правами (типа доступ к шарам, управление принтерами и т.д.) и аналогичную группу (группе можете делегировать на определнные OU, различные полномочия). Добавьте саппорта в эту доменную группу, а саму группу в локальные группы админитраторов на ПК. Все административные задачи на ПК пользователей производить от имени этой учетной записи. Создать учетную запись администратора домена, отключить встроенную - administrator (Account Administrator status - Disable) или вообще удалить. Настроить политики безопасности. Отключить LM Hash на DC и на всех ПК в домене. (Comp config->Windows Settings->Security Settings->Local Policies->Security Options->Network Security:Do not store LM Manager hash value), отключить все что связано с NT LM. Соответсвенно в домене не должно быть 9x клиентов, или на них должен стоять DSClien. Включить цифровые подписи на коннект, запретить трансляцию SID и просмотр учетных записей и шар для анонимных пользователей. Либо применить шаблоны безопасности hisecdc и hisecws. Пароль доменного админа - чем больше, тем лучше  - пусть ломают, только выбрать с фантазией, типа У3лобногоАдмина,ЕстьпЫво0ю5л. Можно использовать непечатные символы вводимы с цифровой клавиатуры с Alt. Практически ни одна прога подбора паролей, хэш такому паролю правильно не подберет.
Сообщений: 2
• Страница 1 из 1
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11 |