Re: windows2000 password e domini

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>> Ciao a tutti,
>>
>> e la prima volta che scrivo con un dubbio forse banale.
>>
>> Su un dominio windows 2000 sono collegati 80 portatili, quando
>> cambio la password sull'amministratore di dominio sul PDC mi
>> viene cambiata anche sui portatili, ma solo se sono in rete.
>
> la password non viene cambiata sui portatili.
> la password cambia solo sul PDC.

quando cambi la password su un PDC, la modifica viene registrata nel
database delle password
se una qualsiasi macchina cerca di accedere al PDC, e i dati
dell'account "pluto" sono stati cambiati, la modifica viene "presa"
dal server che la "replica" sui client

se usi windows 98 le password vengono salvate in un file .PWL
a seconda del numero di account che hai trovi "n" file di password

se hai una macchina winNT le password vengono salvate nel file SAM

se hai win2k sempre in un file SAM ma più protetto(SYSKEY)
Se non riesce a raggiungere il "controllore di dominio" per
autenticarsi allora usa le 10 password che tiene in cache "per
sicurezza" e finge di collegarsi al dominio

se le password passano via rete (condivisione di rete) allora il
traffico passa "in chiaro" cioè password non cifrato in formato testo
leggibile (a meno che non si usi NTLMv2)

se le usi in explorer allora te le mette in cache e le "conserva" nel
caso tu te le possa dimenticare.in chiaro !!!!!

>> Se i portatili si disconnettono dalla rete locale posso entrare
>> solo con la precedente password di amministratore del dominio.
>
> il tuo problema è che hai lasciato attivo sui pc, il caching delle
> password, pratica che sarebbe assolutamente da evitare. Infatti se l
> password rimane in cache su un file nel portatile è piuttosto
semplice
> riuscire a "recuperarla" ... (al lettore e all'immaginazione è
lasciata
> ogni deduzione sulla stupidità di fare caching delle passwrod di un
> dominio su un client che ti puoi portare in giro).

immaginiamo tante cose belle.... no comment su cosa ci si possa fare
 ^_____^

>> Quando riconnetto i portatili la password accettata è solo quella
attuale.
>
> certo, perchè nel momento che li connetti, per "sicurezza" validano
> l'account sul dominio e "scoprono" che la password è cambiata,
quindi ti
> permettono di usare solo quella nuova.

in questo caso quando la macchina si collega alla rete, il PDC manda
un messaggio di replica delle informazioni con la massima priorità,
per cui la macchina che cerca di accedere alla rete con una password
"vecchia" si trova che i server di autenticazione hanno tutti password
diversa, e visto che al "logon" della macchina in rete la password di
accesso al dominio è quella "presente sul server" allora viene
richiesto di immettere la password nuova.
questo perchè quando il client accede viene informato dal server che
la sua password non va be e che quella giusta è la sua, per cui il
client "crede" al server e richiede che l'utente immetta la password
registrata sul server. Se mette la password vecchia non accede per i
motivi detti prima.

>> Ho fatto questa prova più di una volta, ma perchè succede tutto
ciò?
>
> perchè siccome Microsoft ha inventato questa bella cosa dei domini,
ma
> doveva permettere all'utente di accedre comunque lo stesso al
portatile
> anche quando scollegato, ha pensato bene che un modo ganzo per farlo
è
> quello di tenersi in locale una copia della password!!!

di base le macchine windows tengono una "memoria tampone" delle ultime
10 password immesse (se mi ricordo bene) e nel caso in cui non si
possa accedere al dominio il sistema avvisa che vengono usate delle
credenziali gia presenti nel sistema (le famose password in cache)

> Il problema è che questo poi succede anche per l'utente
administrator,
> che, buona politica di sicurezza vuole, non dovrebbe comunque mai
> loggarsi come amministratore sulle macchine client ... meglio creare
un
> utente che ha permessi di amministratore sulla macchina client ma
non è
> privilegiato sul dominio

buona norma è creare un account "domain administrator" che ha poteri
divini su tutto il dominio (creato di default)

per ogni macchina client viene creato di default un account
"local administrator" che ha poteri "locali" ovvero solo sulla
macchina. questo account deve essere DIVERSO dall'account di "domain
admin" e CON PASSWORD DIVERSA.

poi si creano gli account dei client, ovvero account a cui si
forniscono il minor numero di permessi possibili.

> in modo che in caso di compromissione del
> client, non ci si trova "a culo all'aria" (scusate il francesismo
;-)
> per tutto il dominio come qualche admin di mia conoscenza che amava
> riciclare le password ha sperimentato sulla sua pelle ;-)

vale la pena di ricordare che le password vanno cambiate per ALMENO 11
VOLTE, e per 11 volte DEVONO essere diverse.
sempre in ambito windows il parametro di riferimento della robustezza
della password è dato da quanto tempo ci mette LC4 a sblindarla.
per cui password di 7 o 14 caratteri, password con valori intermedi
sono facile preda. Password con NUMERI E LETTERE MAIUSCOLE E LETTERE
MINUSCOLE. Preferibilmente senza ripetizioni.
le password di media vanno cambiate OGNI 30 giorni, visto che LC4 ci
mette 32 giorni (di media) per decifrare una password che ha tutte le
cose dette prima :-PP

> ciao,
> Simo.

Ciriciao
Enrico
^___^

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2i

iQA/AwUBPjBxAkVqSmXe/tZ/EQKsYgCg7IOn5gfY8pcu/mFOGGSJ+QEWrbMAoPhN
4Q5ZmlMrnNHV5q0OHqx7/tPv
=bDOJ
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List