none
Security problem (změna hesla)

    Dotaz

  • Dobrý den, kde může být problém když pod Windows XP SP3 může uživatel s právem User změnit heslo i uživateli Administrator ?

    (použil jsem k totálnímu omezení práce na počítači utilitu XP security console http://www.dougknox.com/xp/utils/xp_securityconsole.htm takže nevím jestli to zvládla ona ...)

    Děkuji za pomoc

    27. února 2013 19:47

Odpovědi

  • Tak pokud by to někoho zajímalo nakonec jsem zakázal změnu hesla :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\

    u obou RegDWord DisableChangePassword na 1

    Je to sice drbání nohou za uchem, ale nakonec je cíle dosaženo.

    27. února 2013 22:18

Všechny reakce

  • Takto se standartní Windows XP zcela určitě nechovají.

    Uživatel je členem jakých skupin?

    net user jméno_uzivatele


    JCH

    27. února 2013 19:52
  • Dobrý den posílám výpis příkazu.

    C:\Documents and Settings\Jirka>net user Jirka
    Uživatelské jméno                   Jirka
    Jméno a příjmení                    Jirka
    Komentář
    Komentář uživatele
    Směrové číslo země                  000 (Výchozí systémové nastavení)
    Účet je aktivní                     Ano
    Účet vypršel                        Nikdy

    Heslo bylo naposledy nastaveno      2/27/2013 7:35 PM
    Heslo vyprší                        Nikdy
    Heslo lze měnit                     2/27/2013 7:35 PM
    Heslo je vyžadováno                 Ano
    Uživatel smí měnit heslo            Ne

    Pracovní stanice byla povolena      Vše
    Přihlašovací skript
    Profil uživatele
    Domovský adresář
    Naposledy přihlášen                 2/27/2013 9:21 PM

    Povolené přihlašovací hodiny        Vše

    Členství v místních skupinách       *Remote Desktop Users
                                        *Users
    Členství v globálních skupinách     *None
    Příkaz byl úspěšně dokončen.



    27. února 2013 20:24
  • Já chtěl aby ten uživatel měl totálně zamezen přístup ke všem možnostem XP (a to mě ta utilita plně splnila) a má na ploše jeden program a nic jiného nemůže.
    Můžu mu sice zakázat přístup k ovládacím panelům, ale když si dá spustit compmgmt.msc tak může měnit i heslo Administratora ...

    27. února 2013 20:32
  • Pokud pouzijete utilitku z jine dilny nez od Microsoftu, pak byste se mel obratit na vyrobce utilitky. Reseni problemu s programy tretich stran je mimo dosah tohoto fora.

    M.

    27. února 2013 21:14
    Moderátor
  • Děkuji, a může mě tedy někdo poradit zda existuje nějaká MS utilita (třeba z Technetu) která provede totální restrikci WIn XP (zakáže ovládací panely, instalace, mapování disků, provádět sdílení - prostě všechno krom spuštění určitých programů). Děkuji.
    27. února 2013 21:39
  • Tak pokud by to někoho zajímalo nakonec jsem zakázal změnu hesla :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\

    u obou RegDWord DisableChangePassword na 1

    Je to sice drbání nohou za uchem, ale nakonec je cíle dosaženo.

    27. února 2013 22:18
  • Vse se samozrejme zakazuje pres group plicies. Jen bez domeny je dost opruz NEaplikovat politiky na vybrane uzivatele

    MP

    28. února 2013 8:55
    Moderátor
  • Můžu mu sice zakázat přístup k ovládacím panelům, ale když si dá spustit compmgmt.msc tak může měnit i heslo Administratora...

    Když nebude mít právo "Číst a spouštět" na soubor compmgmt.msc tak si jej nespustí. Viz příkaz CACLS resp. XCACLS.

    Jestli existuje nějaký nástroj na omezení od MS se mi nevybavuje, tuším že existovala nějaká instalace pro internetové kavárny či školy. Zkusil bych pogooglit hesla jako "kiosk mode" ale nevím jestli je to to pravé ořechové.

    Dost záleží na okolnostech proti komu a čemu chránit a na poměru vynaloženého úsilí a přínosu který to přinese. Např. proti méně zdatnému uživateli by stačilo ikonu oné jedné aplikace nakopírovat do složky "Po spuštění", důslednější bude nastavení omezení v Zásadách místního zabezpečení.  Ale pokud jde o vynalézavého usera který se snaží "soupeřit" s adminem, je třeba být důslednější a je otázkou kolik úsilí stojí za to tomu věnovat.

    28. února 2013 11:36
  • Dobrý den, naprosto s vámi souhlasím. Nakonec to tedy mám vyřešené, ta utilita je opravdu skvělá a je možné, že byla konfigurace/instalace nějaká nabořená (?) že mohl měnit user práva admina ... ale po změně v registru a zákazu registr spouštět už je pro něj hotovo.
    28. února 2013 13:10
  • ale po změně v registru a zákazu registr spouštět už je pro něj hotovo.

    No asi tak do té doby než mu nějaký dobrák poradí jak do registru zapsat jiným způsobem... Znáte REG.exe? :-)

    Samotný zákaz spouštět regedit nemusí vyřešit vše... Ale máte k dispozici práva na registr (ale s těmi opatrně aby taky mohl pracovat "-) a předpokládám že ten regedit jste zakázal pomocí software restriction policies (teď se mi nevybavuje český ekvivalent) v nastavení lokálních politik... takže tam můžete přidat i spousty dalších nežádoucích utilitek...

    28. února 2013 18:43