Re: Auditing cambio password Win2000

> Fra le strategie che mi sono venute in mente per verificare se qualche
> smanettone si e' cambiato la password di admin, ho pensato a qualche sistema
> che, ad ogni avvio del client, faccia un controllo sul SAM locale(checksum o
> qualcosa di piu' evoluto) e notificarmi in qualche modo. Preferibilmente
> dovrebbe essere qualcosa di gestibile centralmente e di poco dispendioso

Uhmmmm... un processo che tenta periodicamente, da un'altra macchina,
di eseguire il logon sulle varie macchine usando le credenziali dell'
administrator locale: se fallisce ti viene inviata una mail. Potrebbe
essere un breve script cmd o bash + client smb.

> Prima di pensare a questo, ho fatto un test su un client, ho cambiato la
> password di admin tramite Ntpassw e, al reboot, non ho trovato evidenze
> dell'operazione sull'event log pur con tutti gli auditing abilitati, mi
> confermate? 

Non devi pensare a soluzioni che prevedano interventi del sistema per
registrare l'avvenuta modifica, come l'event viewer: quelle utility a
cui fai riferimento agiscono direttamente sul file SAM accedendovi da
un altro sistema operativo, che non registra niente tra gli eventi di
quello che e' installato sulla macchina.


Fabio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List