Re: windows2000 password e domini

On Fri, 2003-01-24 at 00:47, Enrico Branca wrote:
> quando cambi la password su un PDC, la modifica viene registrata nel
> database delle password
> se una qualsiasi macchina cerca di accedere al PDC, e i dati
> dell'account "pluto" sono stati cambiati, la modifica viene "presa"
> dal server che la "replica" sui client

Sbagliato, in realtà funziona in modo diverso.
Quando il dominio non è disponibile, la password dell'utente viene
confrontata con quella in memoria (l'hash della password in realtà), se
coincidono sei dentro.
Quando il dominio è raggiungibile, l'utente viene validato contro il
dominio, se esso ha accesso, l'hash della password viene conservato
sostituendo quello precedente, il server non manda _mai_ le password ai
client.

> se usi windows 98 le password vengono salvate in un file .PWL
> a seconda del numero di account che hai trovi "n" file di password

Non è esatto, ci trovi solo i file pwl, degli utenti che sono passati da
quella macchina.

> se hai una macchina winNT le password vengono salvate nel file SAM

il sam è solo un ramo speciale del registro, le password in cache
vengono salvate nel sam, ma in un'altro ramo del registro, il SAM si
occupa solo degli utenti locali su un client.

> se le password passano via rete (condivisione di rete) allora il
> traffico passa "in chiaro" cioè password non cifrato in formato testo
> leggibile (a meno che non si usi NTLMv2)

Falso.
le password non passano in chiaro, da NTML (v1) in su si usa un
meccanismo di challenge response che non fa mai passare le password on
the wire. NTLMv2 è solo un protocollo un po' più robusto (ma
incompatibile ahimè con samba 2.2), il traffico invece passa sempre in
chiaro (anche con NTLMv2 che è solo un meccanismo di autenticazione), si
può cifrare con Sign&Seal, ma lo sconsiglio, appesantisce il traffico, e
all'interno di una rete non è necessario generalmente.

> se le usi in explorer allora te le mette in cache e le "conserva" nel
> caso tu te le possa dimenticare.in chiaro !!!!!

in realtà usa un algoritmo di cifratura reversibile.



> in questo caso quando la macchina si collega alla rete, il PDC manda
> un messaggio di replica delle informazioni con la massima priorità,

uh? il PDC fa la replica con i BDC indipendentemente dal fatto che i
client siano o meno connessi alla rete.

> per cui la macchina che cerca di accedere alla rete con una password
> "vecchia" si trova che i server di autenticazione hanno tutti password
> diversa, e visto che al "logon" della macchina in rete la password di
> accesso al dominio è quella "presente sul server" allora viene
> richiesto di immettere la password nuova.

Normalmente i client all'accensione chiedono comunque la password, se
qualcuno usa sistemi di autenticazione in automatico (tipo quello che fa
winXP) è da galera imho :-)
vedi sopra.

> buona norma è creare un account "domain administrator" che ha poteri
> divini su tutto il dominio (creato di default)

questa non è una buona norma, il domian administrator esiste già di
default alla creazione del dominio.

> per ogni macchina client viene creato di default un account
> "local administrator" che ha poteri "locali" ovvero solo sulla
> macchina. questo account deve essere DIVERSO dall'account di "domain
> admin" e CON PASSWORD DIVERSA.

assolutamente giusto.


Simo.

-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part