locked
Quali sono i potenziali rischi di loggare localmente un administrator di dominio ad un pc della rete RRS feed

  • Domanda

  • Un saluto a tutti,
    l'anno scorso ad agosto (discussione del 03-08-2010) mi rispose Edo in merito ad una mia richiesta che era "Non lasciare traccia del logon fatto con administrator locale al pc". L'ambiente di riferimento è windows XP Sp3.
    In quella occasione Edo mi proponeva di loggarmi al pc in esame come administrator del dominio. In effetti questa pratica è diventata per me prassi normale e decisamente molto comoda anche per altri aspetti.
    Ora qualcuno mi ha messo in testa questo un dubbio: loggando administrator di dominio si crea sul pc a cui ci si logga la cartella "documents and settings\utente" dove "utente" in questo caso sarà diciamo un administrator di dominio; un utente esperto che per qualche motivo riesca ad avere i permessi amministrativi sul proprio pc (ed è un caso che putroppo accade nella mia rete dato che per alcuni pc non sono riuscito a lasciarli con un end user non amministrativo per motivi legati ad applicativi particolari della amministrazione finanziaria...) potrebbe rovistare nella su detta cartella e ricavare informazioni importanti ed anche la password (quindi quella di un amministratore del dominio in questo caso...).

    Domanda: cosa è possibile ricavare dalla cartella di profilo utente? Si potrebbero ricavare informazioni relative alle credenziali di accesso?

    Grazie

     



    martedì 26 aprile 2011 09:43

Tutte le risposte

  • Un saluto a tutti,
    l'anno scorso ad agosto (discussione del 03-08-2010) mi rispose Edo in merito ad una mia richiesta che era "Non lasciare traccia del logon fatto con administrator locale al pc". L'ambiente di riferimento è windows XP Sp3.
    In quella occasione Edo mi proponeva di loggarmi al pc in esame come administrator del dominio. In effetti questa pratica è diventata per me prassi normale e decisamente molto comoda anche per altri aspetti.
    Ora qualcuno mi ha messo in testa questo un dubbio: loggando administrator di dominio si crea sul pc a cui ci si logga la cartella "documents and settings\utente" dove "utente" in questo caso sarà diciamo un administrator di dominio; un utente esperto che per qualche motivo riesca ad avere i permessi amministrativi sul proprio pc (ed è un caso che putroppo accade nella mia rete dato che per alcuni pc non sono riuscito a lasciarli con un end user non amministrativo per motivi legati ad applicativi particolari della amministrazione finanziaria...) potrebbe rovistare nella su detta cartella e ricavare informazioni importanti ed anche la password (quindi quella di un amministratore del dominio in questo caso...).

    Domanda: cosa è possibile ricavare dalla cartella di profilo utente? Si potrebbero ricavare informazioni relative alle credenziali di accesso?

    Grazie

     



    Domanda: cosa è possibile ricavare dalla cartella di profilo utente? Si potrebbero ricavare informazioni relative alle credenziali di accesso?

    Risposta: a parte quello che ci salvi dentro, contenuto del desktop, documenti, preferiti etc... al "volo" non riesci a recuperare nulla di più....
    Che poi il client oltre a creare una cartella, per gestire il profilo utente si salvi anche le informazioni relative all'autenticazione non significa che queste siano di facile accesso e semplici da reperire.
    Sinceramente non ricordo dove vengano salvate le informazioni sull'autenticazione dell'utente, però se il tuo problema consiste nell'evitare che chiunque possa "catturare" queste informazioni direi che windows di suo le conserva in modo sicuro anche lato client per cui io starei tranquillo sotto questo punto di vista...
    Detto questo è possibile configurare tramite GPO la cancellazione dei profili locali non utilizzati dopo tot tempo, questa è un impostazione un po "distruttiva" in quanto influsice anche sugli altri profili oltre che su quello dell'administrator.
    ma è anche possibile impostare che l'autenticazione per accedere al pc sia eseguita tramite Domain Controller, per cui se scolleghi il pc dalla rete e provi il login con le credenziali corrette Windows non ti fa accedere. Anche questa impostazione è impostabile via GPO ed influenza tutti i profili presenti sul pc...

    • Proposto come risposta Anca Popa martedì 3 maggio 2011 13:50
    martedì 3 maggio 2011 13:21
  • Ok dici che non si riesce a recuparare niente. Sono sincero la cosa mi intimorisce un po'. Una cosa è certa nel profilo ci sono le credenziali. Infatti se si accede senza essere collegati alla lan si ha lo stesso accesso locale. D'altra parte cancellare i profili non utilizzati da tempo al momento la vedo come cosa un po' "forte" e anche l'accesso solo se si è connessi al dominio la vedo come cosa "debole". Mi sto chiedendo se sono paranoico o se invece sta cosa è degna di essere sviscerata maggiormente. Grazie tante per il momento.
    martedì 3 maggio 2011 20:21
  • Ok dici che non si riesce a recuparare niente. Sono sincero la cosa mi intimorisce un po'. Una cosa è certa nel profilo ci sono le credenziali. Infatti se si accede senza essere collegati alla lan si ha lo stesso accesso locale. D'altra parte cancellare i profili non utilizzati da tempo al momento la vedo come cosa un po' "forte" e anche l'accesso solo se si è connessi al dominio la vedo come cosa "debole". Mi sto chiedendo se sono paranoico o se invece sta cosa è degna di essere sviscerata maggiormente. Grazie tante per il momento.


    Si è vero se accedi senza essere collegato alla lan hai lo stesso accesso che avresti se fossi collegato in rete, tiene però presente che quello che vedi è salvato sul pc che sati utilizzando ed è visibile da tutti gli utenti del gruppo administrators di quel pc... cos'è che ti assila, se è possibile chiederlo, su questa vicenda ? Che cosa ti preme proteggere ?

    mercoledì 4 maggio 2011 08:19
  • Mi assilla la possibilità di una sottrazione delle credenziali di acceso dell'amministratore del dominio!!

    Provo di essere ancora più diretto nella mia ipotesi. In una rete di dominio tutta con pc XP Pro sp3, alcuni end user hanno (per motivi vari)
    i diritti amministrativi sul proprio pc. Un utente di questi computer, potrebbe copiare il profilo (presente sul suo pc)
    dell'amministratore di dominio che si è a suo tempo loggato per manutenzionee e portarlo all'esterno dell'organizzazione.

    La domanda è la seguente: una volta in possesso del profilo, avendo a disposizione tempo e adeguati mezzi di
    programmazione e indagine si potrebbe riuscire a decodificare le credenziali di accesso?

    Ripeto, forse la mia è paranoia ma non mi pare, questa perplessità, una cosa da poco.
    Grazie

     

    giovedì 5 maggio 2011 05:36
  • Mi assilla la possibilità di una sottrazione delle credenziali di acceso dell'amministratore del dominio!!

    Provo di essere ancora più diretto nella mia ipotesi. In una rete di dominio tutta con pc XP Pro sp3, alcuni end user hanno (per motivi vari)
    i diritti amministrativi sul proprio pc. Un utente di questi computer, potrebbe copiare il profilo (presente sul suo pc)
    dell'amministratore di dominio che si è a suo tempo loggato per manutenzionee e portarlo all'esterno dell'organizzazione.

    La domanda è la seguente: una volta in possesso del profilo, avendo a disposizione tempo e adeguati mezzi di
    programmazione e indagine si potrebbe riuscire a decodificare le credenziali di accesso?

    Ripeto, forse la mia è paranoia ma non mi pare, questa perplessità, una cosa da poco.
    Grazie

     


    Si è vero la tua perplessità non è cosa da poco, il rischio c'è ? SI
    Ma ti posso garantire che anche senza le credenziali dell'account amministratore di dominio dall'interno con un semplice utente senza privilegi particolari si può fare un bell'attacco di tipo DOS coi fiocchi e se trovi quello sgamato sicuro ti stende qualche servizio...
    Detto questo io dormirei sonni tranquilli lo stesso... il rischio c'è ma costa meno fatica portare in azienda un cd di windows server scaricato da internet e mettere in piedi un rogue server DHCP per fare danni...

    giovedì 5 maggio 2011 10:21
  • Ok, quindi non sono così paranoico...
    Mi chiedo come fanno a gestire reti di pc in ambienti critici come la sanità o le banche.
    Grazie
    venerdì 6 maggio 2011 12:44
  • Ok, quindi non sono così paranoico...
    Mi chiedo come fanno a gestire reti di pc in ambienti critici come la sanità o le banche.
    Grazie


    Mi permetto di rispondere così: non fare domande di cui potresti pentirti di consocere la risposta :-D

    venerdì 6 maggio 2011 15:04
  • Invece mi piacerebbe trovare della doc su questo argomento. Se sai e hai voglia di dirmi dove trovare qualcosa su tecniche di violazione di sistema (windows) a vario livello te ne sarei grato. Lo so è un argomento delicato ma mi piacerebbe saperne di più per maggiore consapevolezza e chissà magari prendere qualche contromisura se si presentasse il caso ....

    Grazie

    sabato 7 maggio 2011 10:02