Windows 2008 SBS Administrator Disabled
בשנים האחרונות אנו עדים למודעות רבה בתחום אבטחת המידע. Windows 2008 פותחה עם אוריינטציה
רבה לאבטחת מידע (אך לא רק אליה).
ניתן לחלק את יסודות אבטחת המידע לשלושה חלקים:
1. הזדהות (Authentication)
2. הרשאות (Authorization)
3. חיוויים (Auditing).
עקרון אחד (מתוך רבים) באבטחת מידע הוא שינו שם ה - Administrator.
האם חשבון ה - Administrator בארגונכם פעיל? אם כן, האם שמו המוגדר כברירת מחדל השתנה?
מי משתמש בחשבון ה - Administrator? האם יישות אחת משתמשת בחשבון זה או מספר יישויות?
* כל השאלות היו רטוריות. במצב זה בד"כ לא ניתן להגיד שהנכם עובדים באופן מאובטח.
הערה: לעיתים קיימים היבטים תפעוליים המונעים את שינוי שם ה - Administrator.
במצב בו קיים שימוש בחשבון Administrator לא ניתן יהיה לנטר את היישות שעבדה איתו.
היות וחשבון Administrator אינו ננעל, קבלת שמו תוכל לגרום להתקפת סיסמאות כגון Brute Force,
Dictionary Attack ועוד...
ישנן תוכנות חינמיות המאפשרות את קבלת שם ה - Administrator ב - Domain, לדוגמא : PsGetSid של
חברת מייקרוסופט (בעבר Sysinternals). ניתן לזהות את ה - Administrator לפי ה - SID שלו באמצעות
התוים S-1-5 בהתחלה, ובסוף 500, לדוגמא: S-1-5-21-3419577747-1510678476-4111112123-500.
ב - Windows 2008 SBS בשלב ההתקנה של מערכת ההפעלה, לאחר מתן שם ל - Domain (היות ושרת
זה מוגדר ה - Domain Controller) ההתקנה תרוץ עם חשבון Administrator עם סיסמא ריקה. ההתקנה
תבקש הכנסת שם שאינו Administrator שישמש כ - Administrator בתום התקנת השרת.
בסוף ההתקנה, לאחר האתחול האחרון של מערכת ההפעלה, החשבון Administrator ינעל.
אם הרשת תותקף וכל החשבונות ינעלו, מה ניתן לעשות?
מדובר בשיקול של הארגון באם הוא מעדיף שינעלו את כל החשבונות או שיצליחו לאחר פרק זמן מסויים
לפרוץ לרשת. במידה וכל המשתמשים ננעלים ניתן יהיה להעלות עם החשבון החדש שנוצר במצב
Active Directory Restore Mode) ADRM).
----------------------------------------------
Nir Valtman
Information Security Consultant
www.avnet.co.il
---------------------------------------------