Remove From My Forums

policy blocco account 2003 server: administrator?

Domanda
0

Registrati per votare
Buongiorno,

in un dominio windows 2003 server R2 standard edition SP2, ho attivato il blocco dell'account dopo 3 immissioni di pwd errate. Il dominio è composto dal server prima descritto che è il controller del dominio, e da un server 2008 con Exchange 2007.

Il blocco funziona molto bene ma la cosa che mi lascia perplesso è che blocca anche l'account administrator se vengono fatti 3 tentativi di pwd errata.

Mi chiedo: se qualcuno mi blocca l'account administrator come faccio ad accedere al server?

Grazie a tutti.

Vito
- Tipo modificato Edoardo BenussiMVP, Moderator lunedì 6 dicembre 2010 09:22 è una domanda
domenica 5 dicembre 2010 20:44

Risposta

|

Citazione

Risposte

0

Registrati per votare
Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

Chissà perchè mi risulta tutto confuso.

Innanzitutto un attacco bruteforce tenta diverse centinaia di passowrd al minuto e può continuare per diversi giorni, quindi, il limite di tre password non ha senso (di solito si imposta su 20/30 password per evitare di interventire di continuo per account bloccato da utenti che si sono dimenticat la password)... Inoltre, in questo periodo di attacco, hai il tempo di accorgertene e intervenire se hai settato i vari log di sicurezza sul server, firewall, ecc...

Se crei un altro account con privilegi di amministratore (sul dominio e non solo sulla macchina) è vero che può essere anch'esso oggetto di un attacco, ma il malintenzionato deve conoscerne l'esistenza, inoltre ne può attaccare uno alla volta.....

Detto questo, ripartiamo dal principio: hai scritto: "ho attivato il blocco dell'account" come hai fatto? (soprattutto se non hai il GPMC....)

Forse si può ripetere la configurazioni in maniera diversa... editando le policy di dominio..

Quello che ancora, dopo tutti questi post, non mi è chiara è se vuoi che l'account administrator si blocchi o no...

Se la risposta è no... allora edita correttamente la Group policy di default del dominio...

Nel frattempo hai installato la GPMC?
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator venerdì 10 dicembre 2010 07:21
lunedì 6 dicembre 2010 15:47

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare
Mi chiedo: se qualcuno mi blocca l'account administrator come faccio ad accedere al server?

Sono perplesso: 3 tentativi mi sembra un numero molto basso... Di solito è una policy per impedire attacchi brute force, quindi con numeri di tentativi molto elevati...

Il blocco è temporaneo.. dopo 30 minuti l'account viene riabilitato (se la policy è configurata correttamente, ovviamente)..

Inoltre puoi sempre creare un account con tutti i privilegi amministrativi sul dominio (domain e forest admin), con password complessa, da usare sia per l'amministrazione del dominio che per intervenire in casi come questi...
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 6 dicembre 2010 09:22
domenica 5 dicembre 2010 23:55

Risposta

|

Citazione
0

Registrati per votare

E' una policy per bloccare gli attacchi. Io non voglio che gli account siano riabilitati automaticamente dopo 30 min.

Mi stai dicendo che c'è un modo di configurare l'account administrator in modo da non farlo cadere nel blocco? E come si fa?

Grazie

lunedì 6 dicembre 2010 08:22

Risposta

|

Citazione
0

Registrati per votare

puoi tranquillamente disabilitare la riabilitazione automatica degli account dopo 30 minuti.

per quanto riguarda l'administrator, di default non è soggetto a questa policy di blocco. sei sicuro che non sia stato creato un altro account e che sia stato chiamato administrator mentre l'originale "administrator" è stato forse disabilitato ?
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

lunedì 6 dicembre 2010 09:25

Risposta

|

Citazione

Moderatore
0

Registrati per votare

L'account administrator non è stato disabilitato. Da dove si cambia il default di cui mi parli?

Grazie

lunedì 6 dicembre 2010 09:41

Risposta

|

Citazione
0

Registrati per votare

L'account administrator non è stato disabilitato. Da dove si cambia il default di cui mi parli?

metti a 0 i minuti di blocco
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

lunedì 6 dicembre 2010 10:53

Risposta

|

Citazione

Moderatore
0

Registrati per votare

già fatto, l'account administrator viene bloccato se si supera il numero di tentativi impostati.

lunedì 6 dicembre 2010 11:11

Risposta

|

Citazione
0

Registrati per votare
Vito, c'è un po' di confusione nel post. Potresti chiarire alcuni punti?

Se vuoi o non vuoi la riattivazione automatica dell'account.
Se sono state impostate cose particolari nelle policy che potrebbero aver influito sul comportamento "standard" di windows 2003 R2 (default), che è di NON bloccare MAI l'account Administrator per tentativi di password scorrette.
Ciao!

Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
lunedì 6 dicembre 2010 11:22

Risposta

|

Citazione
0

Registrati per votare

Non voglio la riattivazione automatica dell'account.

Nelle policy non c'è impostato nulla di particolare. Ho letto della documentazione in cui si dice che l'account administrator non viene mai bloccato ma purtroppo sul mio sistema non succede questo. Ecco perchè mi sono chiesto: con l'account administrator bloccato come faccio ad accedere?

Grazie a tutti e mi scuso se non sono stato molto chiaro.

lunedì 6 dicembre 2010 11:31

Risposta

|

Citazione
0

Registrati per votare

Ciao Vito,

Hai letto questo, come documentazione:

http://technet.microsoft.com/en-us/library/cc783860%28WS.10%29.aspx

?
Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

lunedì 6 dicembre 2010 11:33

Risposta

|

Citazione
0

Registrati per votare

mi dici se lo username dell'account Administrator è proprio "administrator"?

Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

lunedì 6 dicembre 2010 11:37

Risposta

|

Citazione
0

Registrati per votare

Ho dato un'occhiata alla documentazione da te segnalata: molto utile ma non accenna al mio problema.

Lo username dell'account administrator è "administrator".

lunedì 6 dicembre 2010 11:54

Risposta

|

Citazione
0

Registrati per votare

Come ti ho scritto precedentemente, considerato che per ora l'account administrator non è bloccato, per evitare di "chiudersi la porta in faccia", e soprattutto, considerato che per qualche arcano motivo non vuoi che l'account si sblocchi in automatico dopo tot minuti, creati un nuovo account con tutti i privilegi... lo puoi sempre usare in situazioni di emergenza.
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it

lunedì 6 dicembre 2010 12:02

Risposta

|

Citazione
0

Registrati per votare

Ma così ho forse solo raggirato il problema in quanto un attacco con forza bruta come mi bloccherebbe l'account administrator così bloccherebbe anche l'altro account con gli stessi privilegi di administrator.

Non voglio che si sblocchi dopo n minuti, se ho bisogno di accedere devo accedere subito senza aspettare n minuti. Inoltre se sblocco dopo n minuti do' la possibilità di ritentare l'attacco dopo n minuti.

Oltre al fatto che se il server è sotto attacco trascorsi gli n minuti necessari al blocco verrà ribloccato subito.

Ecco perchè voglio risolvere il problema alla base.

lunedì 6 dicembre 2010 12:13

Risposta

|

Citazione
0

Registrati per votare
Verifica i permessi sulla policy che blocca gli account ed escludi l'account administrator
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 6 dicembre 2010 15:02
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator venerdì 10 dicembre 2010 07:21
lunedì 6 dicembre 2010 12:16

Risposta

|

Citazione
0

Registrati per votare

quindi, in delegation, verifica che administrator non abbia il permesso "read"
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it

lunedì 6 dicembre 2010 12:21

Risposta

|

Citazione
0

Registrati per votare

Come si esclude l'account administrator?

Dove trovo la voce "delegation"?

Grazie

lunedì 6 dicembre 2010 12:26

Risposta

|

Citazione
0

Registrati per votare
devi accedere alla GPMC, selezionare la policy con le policy che ti interessano, e nella finestra di sinistra vedrai il tab con delegation.

La group policy management console la trovi tra gli strumenti di amministrazione
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 6 dicembre 2010 15:02
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator venerdì 10 dicembre 2010 07:21
lunedì 6 dicembre 2010 12:28

Risposta

|

Citazione
0

Registrati per votare

sul mio server, 2003, non c'è un GPMC tra gli strumenti di amministrazione ma c'è "criteri di protezione del dominio" e "criteri di protezione del controller di dominio." Da queste due non vedo a sinistra il tab con delegation.

lunedì 6 dicembre 2010 12:36

Risposta

|

Citazione
0

Registrati per votare

Se non trovi la GROUP POLICY MANAGEMENT CONSOLE allora la puoi scaricare dal web:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en

dal prompot dei comandi, per verificare le policy applicate, puoi dare il comando gpresult con l'opzione /? vedi tutte le opzioni disponibili

Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it

lunedì 6 dicembre 2010 12:43

Risposta

|

Citazione
0

Registrati per votare

ma così escluderei l'account administrator da tutta la policy e non solo dall'opzione inerente il blocco dell'account. Comuqnue così aggiro sempre il problema ma non lo risolvo.

lunedì 6 dicembre 2010 13:02

Risposta

|

Citazione
0

Registrati per votare

Ciao,

meglio verificare prima una cosa: hai impostato tutto nella default domain policy?

se si devi separare le impostazioni di lockout e applicare la nuova policy a livello di DOMINIO, sempre.

poi, dalla GPMC meglio se fai un click dx ->Edit..

poi fai click dx sul root node della policy e scegli proprietà...

vai in protezione e aggiungi "administrator" e gli metti nega SOLO applicazione. Mi raccomando metti solo quella spunta su nega.

Il problema tuo è che Administrator è finito nella policy, anche se di default non dovrebbe modificarsi.

Probabilmente questo è frutto di modifiche passate che hanno corrotto questa parte del tuo Active Directory.

Posta qui un GPRESULT dall'utente administrator loggato su un client, per favore.

Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

lunedì 6 dicembre 2010 13:21

Risposta

|

Citazione
0

Registrati per votare

A parte i consigli corretti di Diego, mi chiedo, come fai a sapere quale policy sono applicate? Come fai a sapere che vengono applicate anche ad administrator?

Mi pongo queste domande non avendo ancora tu verificato quali policy e a chi vengono applicate...
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it

lunedì 6 dicembre 2010 13:27

Risposta

|

Citazione
0

Registrati per votare

Ah, mi posti per favore anche l'output di

dsquery user domainroot -samid adminis*

eseguito dal controller di dominio?

Thanks.

Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

lunedì 6 dicembre 2010 13:28

Risposta

|

Citazione
0

Registrati per votare

GPRESULT

Strumento Risultati Criteri di gruppo del sistema operativo

Microsoft (R) Windows (R) versione 2.0
Copyright (C) Microsoft Corp. 1981-2000

Set creato il 06/12/2010 alle 14.43.58

Dati RSOP per AIMAIL\administrator su MERCURIO3 : Modalit… di registrazione
----------------------------------------------------------------------------

Tipo SO:                     Microsoft(R) Windows(R) Server 2003, Standard Edition
Configurazione SO:           Controller di dominio primario
Versione SO:                 5.2.3790
Modalit… Terminal Server:        Amministrazione remota
Nome sito:                   Nome-predefinito-primo-sito
Profilo comune:
Profilo locale:              C:\Documents and Settings\Administrator
Connesso attraverso

un collegamento lento?:      No

IMPOSTAZIONI COMPUTER
----------------------
    CN=MERCURIO3,OU=Domain Controllers,DC=aimail,DC=local
    Ultima applicazione dei

    criteri di gruppo:                   06/12/2010 in 14.40.12
    Criterio di gruppo applicato da:     mercurio3.aimail.local
    Limite del collegamento lento

    dei criteri di gruppo:               500 kbps
    Nome dominio:                        aimail
    Tipo di dominio:                        Windows 2000

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        Default Domain Controllers Policy
        Default Domain Policy

    I seguenti oggetti Criteri di gruppo non sono stati

applicati perch‚ sono stati esclusi dal filtro
    -----------------------------------------------------------------------------------------------------
        Criteri gruppo locale
            Filtro: Non applicato (Vuoto)

    Il computer fa parte dei seguenti gruppi di protezione
    ------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        Accesso compatibile precedente a Windows 2000
        BUILTIN\Users
        Gruppo di accesso autorizzazione Windows
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        MERCURIO3$
        Controller di dominio
        ExchangeLegacyInterop
        CONTROLLER DI DOMINIO ORGANIZZAZIONE


IMPOSTAZIONI DELL'UTENTE
-------------------------
    CN=Administrator,OU=aurigaspa.com,OU=OU MAIL,DC=aimail,DC=local
    Ultima applicazione dei

    criteri di gruppo:                   06/12/2010 in 13.24.55
    Criterio di gruppo applicato da:     mercurio3.aimail.local
    Limite del collegamento lento

    dei criteri di gruppo:               500 kbps
    Nome dominio:                        AIMAIL
    Tipo di dominio:                        Windows 2000

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        Default Domain Policy
        Criteri gruppo locale

    L'utente fa parte dei seguenti gruppi di protezione
    ---------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        BUILTIN\Users
        Accesso compatibile precedente a Windows 2000
        REMOTE INTERACTIVE LOGON
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        LOCALE
        SMSMSE Admins
        Domain Admins
        Proprietari autori criteri di gruppo
        Schema Admins
        Exchange Organization Administrators
        Exchange Recipient Administrators
        Exchange View-Only Administrators
        Exchange Public Folder Administrators
        Enterprise Admins

DSQUERY

"CN=Administrator,OU=aurigaspa.com,OU=OU MAIL,DC=aimail,DC=local"



lunedì 6 dicembre 2010 13:46

Risposta

|

Citazione
0

Registrati per votare

Non voglio la riattivazione automatica dell'account.

Nelle policy non c'è impostato nulla di particolare. Ho letto della documentazione in cui si dice che l'account administrator non viene mai bloccato ma purtroppo sul mio sistema non succede questo. Ecco perchè mi sono chiesto: con l'account administrator bloccato come faccio ad accedere?

ma forse l'account administrator non è bloccato per il superamento dei tentativi di accesso ma perchè qualche altro admin lo ha lockato.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

lunedì 6 dicembre 2010 15:01

Risposta

|

Citazione

Moderatore
0

Registrati per votare

ho anch'io lo stesso dubbio di Adriano: come fai a dire che sul tuo sistema l'account administrator si blocca dopo n tenativi di accesso cn credenziali sbagliate ?
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

lunedì 6 dicembre 2010 15:05

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

lunedì 6 dicembre 2010 15:28

Risposta

|

Citazione
0

Registrati per votare
Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

Chissà perchè mi risulta tutto confuso.

Innanzitutto un attacco bruteforce tenta diverse centinaia di passowrd al minuto e può continuare per diversi giorni, quindi, il limite di tre password non ha senso (di solito si imposta su 20/30 password per evitare di interventire di continuo per account bloccato da utenti che si sono dimenticat la password)... Inoltre, in questo periodo di attacco, hai il tempo di accorgertene e intervenire se hai settato i vari log di sicurezza sul server, firewall, ecc...

Se crei un altro account con privilegi di amministratore (sul dominio e non solo sulla macchina) è vero che può essere anch'esso oggetto di un attacco, ma il malintenzionato deve conoscerne l'esistenza, inoltre ne può attaccare uno alla volta.....

Detto questo, ripartiamo dal principio: hai scritto: "ho attivato il blocco dell'account" come hai fatto? (soprattutto se non hai il GPMC....)

Forse si può ripetere la configurazioni in maniera diversa... editando le policy di dominio..

Quello che ancora, dopo tutti questi post, non mi è chiara è se vuoi che l'account administrator si blocchi o no...

Se la risposta è no... allora edita correttamente la Group policy di default del dominio...

Nel frattempo hai installato la GPMC?
Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator venerdì 10 dicembre 2010 07:21
lunedì 6 dicembre 2010 15:47

Risposta

|

Citazione
0

Registrati per votare

senza GPMC è possibile editare le policy usando "criteri di protezione del dominio" e "criteri di protezione del controller di dominio" che io ho usato per fare questo mio test. Ho impostato 3 tentativi per fare la prova: poi magari metto 30 tentativi di pwd errata.

Il punto non è se voglio che l'account administrator si blocchi o no ma come gestire questa situazione:

1) l'account administrator si blocca

2) se si blocca non so come accedere.

Allora

a) faccio in modo di non bloccare l'account administrator

b) mi sono chiesto se esiste un modo di sbloccare un account administrator bloccato.

Per il punto a) ho capito che devo usare la GPMC, l'ho installata ma la trovo ostica da usare. Devo capire bene cosa modificare perchè sto su un sistema in produzione. Sinceramente pensavo fosse più semplice ripristinare la situazione di default.

Per il punto b) mi sembra di aver capito che o hai la fortuna di avere un account administrator non bloccato o ti sei perso l'accesso al sistema.

Mi spieghi perchè con un attacco "ne può attaccare uno alla volta" ?

Grazie

lunedì 6 dicembre 2010 18:13

Risposta

|

Citazione
1

Registrati per votare
Mi spieghi perchè con un attacco "ne può attaccare uno alla volta" ?

Per attacco bruteforce si intendono attacchi perpetrati tramite software che testano tantissime password (prendendole da un vocabolario o generandole su un set di caratteri...)... l'attacco viene fatto su un account. Può essere administrator o un account del quale chi attacca conosce in qualche modo l'esistenza...

Non penso che tu intendi un attacco fatto manualmente da qualcuno (allora diventa proprio eterno se hai impostato una password complessa...)

Quindi, se ti crei un secondo account con privilegi amministrativi, puoi sempre operare...

Se poi con queste precauzioni, con password complesse, con policy che registrano tentativi di accessi non autorizzati ecc...ecc una persona riesce comunque ad accedere al tuo server, ahimè, non mi resta che fargli i complimenti...

Tra l'altro non dici nulla in merito al fatto se il server è esposto a reti pubbliche (internet) o se è isolato su una lan... quindi protetto da firewall...

quali servizi offre... ecc.. ecc...

Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
- Modificato Adriano Mariolini martedì 7 dicembre 2010 08:27 type error
lunedì 6 dicembre 2010 18:37

Risposta

|

Citazione
0

Registrati per votare

Per attacco bruteforce si intendono attacchi perpetrati tramite software che testano tantissime password (prendendole da un vocabolario o generandole su un set di caratteri...)... l'attacco viene fatto su un account. Può essere administrator o un account del quale chi attacca conosce in qualche modo l'esistenza...

Non penso che tu intendi un attacco fatto manualmente da qualcuno (allora diventa proprio eterno se hai impostato una password complessa...)

Quindi, se ti crei un secondo account con privilegi amministrativi, puoi sempre operare...

alla ottima spiegazione di Adriano aggiungo solo un dettaglio: se il secondo account con privilegi amministrativi non lo chiami amministratore ma lo chiami, ad esempio, gandalf sei già sufficientemente sicuro perchè l'attacco brute force viene fatto sulle password di account di cui si conosce lo username ma se l'attaccante dovesse anche andare per tentativi ad indovinare uno username da attaccare allora non ce la fa più (oltre a non sapere quali sono gli account che godono di privilegi amministrativi).

my two cents.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

martedì 7 dicembre 2010 08:16

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Per favore, qualcuno che ha un dominio sotto mano, può fare un gpresult per l'account administrator?

Vorrei capire se i gruppi di appartenenza sono stati modificati.

Ciao!
Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

martedì 7 dicembre 2010 08:44

Risposta

|

Citazione
0

Registrati per votare

Vi ringrazio per il vostro supporto. Studierò la GPMC anche se sono più propenso a creare un secondo account administrator seguendo i consigli che mi avete dato.

Grazie ancora.

Vito

martedì 7 dicembre 2010 08:44

Risposta

|

Citazione
0

Registrati per votare

@diego:

Microsoft Windows [Versione 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Documents and Settings\Administrator>gpresult

Strumento Risultati Criteri di gruppo del sistema operativo
Microsoft (R) Windows (R) versione 2.0
Copyright (C) Microsoft Corp. 1981-2000

Set creato il 07/12/2010 alle 9.47.35

Dati RSOP per dominio\administrator su ALTOSG530 : Modalità di registrazione
---------------------------------------------------------------------------

Tipo SO:                     Microsoft(R) Windows(R) Server 2003, Standard Editi
on
Configurazione SO:           Controller di dominio primario
Versione SO:                 5.2.3790
Modalità Terminal Server:        Amministrazione remota
Nome sito:                   ******
Profilo comune:
Profilo locale:              C:\Documents and Settings\Administrator
Connesso attraverso
un collegamento lento?:      No

IMPOSTAZIONI COMPUTER
----------------------
    CN=ALTOSG530,OU=Domain Controllers,DC=****,DC=server
    Ultima applicazione dei
    criteri di gruppo:                   07/12/2010 in 9.45.20
    Criterio di gruppo applicato da:     altosg530.*****.server
    Limite del collegamento lento
    dei criteri di gruppo:               500 kbps
    Nome dominio:                        *****
    Tipo di dominio:                        Windows 2000

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        Default Domain Policy III

    I seguenti oggetti Criteri di gruppo non sono stati
applicati perché sono stati esclusi dal filtro
    ----------------------------------------------------------------------------
-------------------------
        Criteri gruppo locale
            Filtro: Non applicato (Vuoto)

    Il computer fa parte dei seguenti gruppi di protezione
    ------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        Accesso compatibile precedente a Windows 2000
        BUILTIN\Users
        Gruppo di accesso autorizzazione Windows
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        ALTOSG530$
        Controller di dominio
        CONTROLLER DI DOMINIO ORGANIZZAZIONE

IMPOSTAZIONI DELL'UTENTE
-------------------------
    CN=Administrator,CN=Users,DC=*****,DC=server
    Ultima applicazione dei
    criteri di gruppo:                   07/12/2010 in 9.34.50
    Criterio di gruppo applicato da:     altosg530.*****.server
    Limite del collegamento lento
    dei criteri di gruppo:               500 kbps
    Nome dominio:                        *****
    Tipo di dominio:                        Windows 2000

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        Default Domain Policy III

    I seguenti oggetti Criteri di gruppo non sono stati
applicati perché sono stati esclusi dal filtro
    ----------------------------------------------------------------------------
-------------------------
        Criteri gruppo locale
            Filtro: Non applicato (Vuoto)

    L'utente fa parte dei seguenti gruppi di protezione
    ---------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        BUILTIN\Users
        Accesso compatibile precedente a Windows 2000
        REMOTE INTERACTIVE LOGON
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        LOCALE
        Domain Admins
        Proprietari autori criteri di gruppo
        KLAdmins
        Enterprise Admins
        Schema Admins
        SQLServer2005MSSQLUser$SERVEREXVIM$SQLEXPRESS

Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it

martedì 7 dicembre 2010 08:51

Risposta

|

Citazione
0

Registrati per votare
Grazie Adriano. i gruppi mi sembrano OK..

Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
- Contrassegnato come risposta Vito3 giovedì 9 dicembre 2010 18:29
- Contrassegno come risposta annullato Edoardo BenussiMVP, Moderator venerdì 10 dicembre 2010 07:20
martedì 7 dicembre 2010 09:39

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

policy blocco account 2003 server: administrator?

Domanda

Risposte

Tutte le risposte