Re: windows2000 password e domini

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2003 ml@sikurezza.org
Soggetto: Re: windows2000 password e domini
Mittente: Simo Sorce
Data: 22 Jan 2003 18:41:43 -0000

On Wed, 2003-01-22 at 09:40, kravitzinwind.it wrote:
> Ciao a tutti, 
> 
> e la prima volta che scrivo con un dubbio forse banale.
> 
> Su un dominio windows 2000 sono collegati 80 portatili, quando
> cambio la password sull'amministratore di dominio sul PDC mi
> viene cambiata anche sui portatili, ma solo se sono in rete.

la password non viene cambiata sui portatili.
la password cambia solo sul PDC.

> Se i portatili si disconnettono dalla rete locale posso entrare
> solo con la precedente password di amministratore del dominio. 

il tuo problema è che hai lasciato attivo sui pc, il caching delle
password, pratica che sarebbe assolutamente da evitare. Infatti se l
password rimane in cache su un file nel portatile è piuttosto semplice
riuscire a "recuperarla" ... (al lettore e all'immaginazione è lasciata
ogni deduzione sulla stupidità di fare caching delle passwrod di un
dominio su un client che ti puoi portare in giro).

> Quando riconnetto i portatili la password accettata è solo quella attuale.

certo, perchè nel momento che li connetti, per "sicurezza" validano
l'account sul dominio e "scoprono" che la password è cambiata, quindi ti
permettono di usare solo quella nuova.

> Ho fatto questa prova più di una volta, ma perchè succede tutto ciò?

perchè siccome Microsoft ha inventato questa bella cosa dei domini, ma
doveva permettere all'utente di accedre comunque lo stesso al portatile
anche quando scollegato, ha pensato bene che un modo ganzo per farlo è
quello di tenersi in locale una copia della password!!!
Il problema è che questo poi succede anche per l'utente administrator,
che, buona politica di sicurezza vuole, non dovrebbe comunque mai
loggarsi come amministratore sulle macchine client ... meglio creare un
utente che ha permessi di amministratore sulla macchina client ma non è
privilegiato sul dominio, in modo che in caso di compromissione del
client, non ci si trova "a culo all'aria" (scusate il francesismo ;-)
per tutto il dominio come qualche admin di mia conoscenza che amava
riciclare le password ha sperimentato sulla sua pelle ;-)

ciao,
Simo.

-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part

Messaggi successivi:
- Re: windows2000 password e domini, Enrico Branca

In risposta a:
- windows2000 password e domini, kravitz<at>inwind.it

Data:
- precedente: Re: riconoscere una intrusione su Windows, Igor Falcomata'
- successivo: RE: Problema Kazaa e protocolli peer to peer, marco misitano
- indice

Argomento:
- precedente: windows2000 password e domini, kravitz<at>inwind.it
- successivo: Re: windows2000 password e domini, Enrico Branca
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005