none
Quanto è pericoloso portare il cambio password automatico dei client a 60gg? RRS feed

  • Discussione generale

  • Ciao,

    ho utenti che per ferie o per altro non accendono il pc per più di 30 giorni.

    Può dunque succedere che le relazioni di trust di queste workstation si perdano e mi tocca di fare nuovamente il join.

    Se per ipotesi portassi il rinnovo delle password a 60 giorni sarebbe davvero così rischioso?

    effettivamente sugli oggetti computer credo non venga applicato il lockout dell'account per troppe password sbagliate.

    Sarei dunque a serio rischi di bruteforce? Sono così corte le password usate dai PC? Se si impossessano di un account computer cosa possono mai fare?

    chiedo info perché devo comparare rischi/benefici dell'evitarmi il dovere fare il rejoin

    grazie a tutti voi

    mercoledì 7 ottobre 2015 19:37

Tutte le risposte

  • ...la relazione di trust avviene tra la workstation ed il DC. L'utente non ha una scadenza di accesso, in teoria potrebbe rimanere in ferie ad oltranza.

    Il discorso della sicurezza, invece, non va sottovalutato. Password complesse e scadenze regolari mitigano i problemi che tutti noi conosciamo.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    mercoledì 7 ottobre 2015 19:55
    Moderatore
  • io parlavo solo delle password computer però.

    La relazione scade perché il pc non viene acceso per più di 30gg


    chiedevo cosa rischio a portare il cambio automatico delle password pc da 30 gg a 60gg
    mercoledì 7 ottobre 2015 23:45
  • Hai ragione, ho scritto "utente" ma dovevo scrivere "client" adesso lo correggo.

    Dai una lettura al seguente articolo http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 8 ottobre 2015 05:27
    Moderatore
  • Intanto grazie per il link.

    Purtroppo però c'è qualcosa che non riflette quanto accade nel mio dominio.

    Stando a quanto ho letto, il pc spento da più di 30 gg, all'avvio esegue il cambio password e non dovrebbe dare relazione di trust persa.

    Da me invece se un pc resta spento per più di 30 giorni sembra non riuscire più a ricreare il securecannel.

    Dicono che impedire il cambio password o allungare troppo i tempi causi un problema di sicurezza, ma se il cambio password è davvero scatenato solo dal pc, allora i pc "morti" in AD, ovvero quelli che hanno passwordlastset all'anno scorso (e ne ho parecchi perché secondo me formattano senza fare disjoin) sono a loro volta un problema di sicurezza non gestito dal sistema

    giovedì 8 ottobre 2015 05:45
  • Visto che disabilitare il cambio password può essere potenzialmente rischioso (vulnerabilità al secure channel in quanto se un malintenzionato riesce a trovare la password può potenzialmente eseguire autenticazioni pass-through su Active Directory) la soluzione più rapida secondo me è eseguire dei semplici reset degli account computer (senza fare nuovamente il join al dominio). Volendo si può implementare anche uno script per far fare automaticamente i reset con il cmdlet PowerShell Reset-ComputerMachinePassword oppure con il classico netdom.



    giovedì 8 ottobre 2015 08:17
    Moderatore
  • se io faccio un reset password del computer da active directory però perdo la relazione di trust con il controller di dominio... Almeno è quello che succede da me. lo ho provato ora e con un pulsante dx su computer e reset mi perde la relazione di trust
    giovedì 8 ottobre 2015 09:47
  • Prova a resettare, forzare la replica e riavviare il PC e vedere se fa uguale

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 8 ottobre 2015 09:52
  • Ciao Marco,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.

    Grazie della collaborazione.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 12 ottobre 2015 09:03
  • Intanto grazie per il link.

    Purtroppo però c'è qualcosa che non riflette quanto accade nel mio dominio.

    Stando a quanto ho letto, il pc spento da più di 30 gg, all'avvio esegue il cambio password e non dovrebbe dare relazione di trust persa.

    Da me invece se un pc resta spento per più di 30 giorni sembra non riuscire più a ricreare il securecannel.

    ...

    Quello che si verifica è un comportamento anomalo, indagherei per capire cosa succede... probabilmente c'è qualcosa di grave (mettere 60gg la scandenza sarebbe aggiungere una ulteriore debolezza)

    I pc sono clonati?

    Sul pc che perde il trust che errori trovi nell'event viewer?

    Sul/i domain controller trovi errori ?

    Mi piace che gli utenti manchino per più di 30 gg causa le ferie, assumono? sarei interessato :)

    Puoi descrivere la tua  infrastruttura


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 12 ottobre 2015 19:45
    Moderatore
  • se io faccio un reset password del computer da active directory però perdo la relazione di trust con il controller di dominio... Almeno è quello che succede da me. lo ho provato ora e con un pulsante dx su computer e reset mi perde la relazione di trust

    leggi attentamente

    So if a computer is turned off for three months nothing expires. When the computer starts up, it will notice that its password is older than 30 days and will initiate action to change it. The Netlogon service on the client computer is responsible for doing this. This is only applicable if the machine is turned off for such a long time. 

    ref: http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 ottobre 2015 12:47
    Moderatore
  • lo avevo letto, infatti si discuteva della differenza tra il comportamento della mia infrastruttura e quanto invece dovrebbe avvenire.

    Riguardo a quel punto che hai citato avevo solo sollevato una perplessità; se l'oggetto computer non cambia autonomamente password mentre un pc resta spento, allora la password in AD di quel computer resterà invariata per N mesi pregiudicando ugualmente la sicurezza...

    Poi il mio problema è che i pc fin che sono accesi regolarmente sembrano resettare autonomamente la password, mentre se si riaccendono dopo tanto o se forzo io stesso il reset da AD perdo la relazione di trust.

    Ho provato ora resettando l'account di una workstation e si è persa la relazione. Negli eventi del client, all'orario in cui ho eseguito il reset non ho trovato nulla. Si vede il momento in cui mi sono dovuto disconnettere come user di dominio e sono dovuto rientrare come utente locale, ma null'altro di, a mio avviso, interessante.

    Domani proverò a vedere anche gli eventi del DC, ora devo scappare purtroppo

    martedì 13 ottobre 2015 14:19
  • Nel momento in cui resetti l'account computer da ADUC, i token del computer non sono piú validi.

    Non ho capito bene se dopo il reset da ADUC riavvii la macchina.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 13 ottobre 2015 14:21
  • lo avevo letto, infatti si discuteva della differenza tra il comportamento della mia infrastruttura e quanto invece dovrebbe avvenire.

    Riguardo a quel punto che hai citato avevo solo sollevato una perplessità; se l'oggetto computer non cambia autonomamente password mentre un pc resta spento, allora la password in AD di quel computer resterà invariata per N mesi pregiudicando ugualmente la sicurezza...

    perchè "pregiudicando la sicurezza" ?

    secondo te il rischio è maggiore quando la password è memorizzata su una macchina spenta o quando la password viene trasmessa suila rete ?

    io non la vedo come una compromissione della sicurezza...

    Poi il mio problema è che i pc fin che sono accesi regolarmente sembrano resettare autonomamente la password, mentre se si riaccendono dopo tanto o se forzo io stesso il reset da AD perdo la relazione di trust.

    e questo denota un malfunzionamento che va indagato, visto il link che ti ho postato...


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 ottobre 2015 15:23
    Moderatore
  • Premetto che secondo me questo fatto della password computer non c'entra nulla con il tuo problema.

    Il meccanismo di norma è questo: quando la macchina viene riaccesa dopo i famosi 30 giorni il servizio netlogon locale contatta un DC di dominio ed esegue il cambio password, ma solo se è ancora valido il secure channel.

    Ad esempio mi è capito più volte di avere computer che non venivano accesi per mesi, ma non c'è mai stata la necessità né di eseguire il reset dell'account computer né di eseguire un vero e proprio rejoin a dominio. Alla riaccensione il secure channel ancora funziona, quindi eseguono correttamente il cambio password.

    Quindi secondo me dovresti indagare lato secure channel:

    https://awinish.wordpress.com/2010/12/24/when-secure-channel-is-broken/

    Nel tuo caso potrebbe dipendere da:

    - Utilizzo dello stesso nome host per eseguire il join di un altro computer mentre l'altro è spento. In tal caso il vecchio account del computer spento sarà stato invalidato e alla riaccensione non funzionerà.

    - Uno più SID di sistema duplicati presenti nella rete (quindi metodo di distribuzione dei client errato).





    martedì 13 ottobre 2015 16:45
    Moderatore
  • ...che è quello indicato nel documento che ho postato ad inizio discussione e poi ripreso da Edoardo.

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 13 ottobre 2015 17:29
    Moderatore
  • [..]

    Il meccanismo di norma è questo: quando la macchina viene riaccesa dopo i famosi 30 giorni il servizio netlogon locale contatta un DC di dominio ed esegue il cambio password, ma solo se è ancora valido il secure channel.

    [..]

    Alla riaccensione il secure channel ancora funziona, quindi eseguono correttamente il cambio password.

    [..]

    Solo una precisazione: non é che il secure channel é ancora valido al riavvio, il secure channel viene creato all'avvio. Se il client non ha contattao un DC per lungo tempo, prima di iniziare il processo di cambio password instaurerá il SC con un DC usando la password "scaduta" o meglio attuale.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 13 ottobre 2015 18:31
  • non so se é giá stato detto, hai provato ad abilitare il netlogon logging su un pc, laciarlo spento per parecciho e vedere cosa logga? L'ideale sarebbe anche sui DC ma poi diventa pesante

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 13 ottobre 2015 18:40
  • Pienamente d'accordo Edo. Diciamo che è più pericolaosa la trasmissione su rete. Ma se la password a tutti gli effetti non scade e viene utilizzata all'accensione per stabilire il secure channel ed effettuare il cambio, cosa impedisce ad un attacco bruteforce di trovare la password di un account computer magari rimasto involontariamente in AD dopo la formattazione di un PC (caso estremo) per mesi?

    In ogni caso ritengo questa mia domanda una mera curiosità subordinata alla risoluzione del problema vero :)

    martedì 13 ottobre 2015 19:27
  • mmm nomi duplicati è difficile che se ne creino. Con la convenzione dei nomi macchina siamo abbastanza rigidi e anche il WDS vedo che per la porzione dei nomi assegnata non fa casini.

    Anche per i sid duplicati mi sentirei piuttosto sicuro. Non uso immagini clonate senza avere prima fatto sysprep e in ogni caso il metodo di diffusione ormai primario è il WDS, e usa anche lui immagini syspreppate replicate tra tutti i siti con DFS-R

    martedì 13 ottobre 2015 19:33
  • Ok grazie del consiglio - non aumenterò la scadenza a 60.

    Non ho clonazioni fatte senza sysprep/WDS

    Nell'event viewer nulla di significativo

    Sui DC purtroppo riesco a guardare domani...

    Sulle ferie... parliamone. Io ho 180 giorni di ferie arretrate(riposi per straordinari) - se anche riuscissi a farmene 30 d'un botto non sarebbe così scandaloso. Scandaloso è che qui si lavora sempre :)

    martedì 13 ottobre 2015 19:43
  • abilito il logging. grazie per il consiglio
    martedì 13 ottobre 2015 19:45
  • Solo una precisazione: non é che il secure channel é ancora valido al riavvio, il secure channel viene creato all'avvio. Se il client non ha contattao un DC per lungo tempo, prima di iniziare il processo di cambio password instaurerá il SC con un DC usando la password "scaduta" o meglio attuale.

    Si, per "ancora valido" o che "ancora funziona" intendevo che può essere ancora instaurato....ovviamente non può rimanere "aperto" con il client spento :) Comunque meglio precisare.

    martedì 13 ottobre 2015 20:22
    Moderatore
  • Allora... primo test effettuato da un nuovo dominio pulito...
    Se faccio un reset computer la relazione di trust viene persa, quindi il comportamento del mio dominio era corretto.

    Ho trovato una macchina spenta da parecchio. Vorrei abilitare il logging del netlogon sui 2 DC che ho in questo sito, ma nell'event viewer ->Microsoft->Windows non trovo netlogon ma solo winlogon

    mercoledì 14 ottobre 2015 09:38
  • aggiungo che ho controllato con ntdsutil e non ho sid duplicati
    venerdì 16 ottobre 2015 10:29
  • per abilitare il netlogon logging

    nltest.exe /dbflag:0x2080ffff

    il log lo troverai in c:\windows\debug\netlogon.log


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    venerdì 16 ottobre 2015 10:54
  • Ciao Marco,

    potresti aggiornare I thread che avevi aperto?

    Grazie.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    venerdì 23 ottobre 2015 08:06