Windows 2008 SBS Administrator Disabled

11 ביולי 2008

אין תגובות

בשנים האחרונות אנו עדים למודעות רבה בתחום אבטחת המידע. Windows 2008 פותחה עם אוריינטציה

רבה לאבטחת מידע (אך לא רק אליה).

ניתן לחלק את יסודות אבטחת המידע לשלושה חלקים:

1. הזדהות (Authentication)

2. הרשאות (Authorization)

3. חיוויים (Auditing).

עקרון אחד (מתוך רבים) באבטחת מידע הוא שינו שם ה – Administrator.

 

האם חשבון ה – Administrator בארגונכם פעיל? אם כן, האם שמו המוגדר כברירת מחדל השתנה?

מי משתמש בחשבון ה – Administrator? האם יישות אחת משתמשת בחשבון זה או מספר יישויות?

* כל השאלות היו רטוריות. במצב זה בד"כ לא ניתן להגיד שהנכם עובדים באופן מאובטח.

הערה: לעיתים קיימים היבטים תפעוליים המונעים את שינוי שם ה – Administrator.

 

במצב בו קיים שימוש בחשבון Administrator לא ניתן יהיה לנטר את היישות שעבדה איתו.

היות וחשבון Administrator אינו ננעל, קבלת שמו תוכל לגרום להתקפת סיסמאות כגון Brute Force,

 Dictionary Attack ועוד…

ישנן תוכנות חינמיות המאפשרות את קבלת שם ה – Administrator ב – Domain, לדוגמא : PsGetSid של

חברת מייקרוסופט (בעבר Sysinternals). ניתן לזהות את ה – Administrator לפי ה – SID שלו באמצעות

התוים S-1-5 בהתחלה, ובסוף 500, לדוגמא: S-1-5-21-3419577747-1510678476-4111112123-500.

 

ב – Windows 2008 SBS בשלב ההתקנה של מערכת ההפעלה, לאחר מתן שם ל – Domain (היות ושרת

זה מוגדר ה – Domain Controller) ההתקנה תרוץ עם חשבון Administrator עם סיסמא ריקה. ההתקנה

תבקש הכנסת שם שאינו Administrator שישמש כ – Administrator בתום התקנת השרת.

בסוף ההתקנה, לאחר האתחול האחרון של מערכת ההפעלה, החשבון Administrator ינעל.

 

אם הרשת תותקף וכל החשבונות ינעלו, מה ניתן לעשות?

מדובר בשיקול של הארגון באם הוא מעדיף שינעלו את כל החשבונות או שיצליחו לאחר פרק זמן מסויים

לפרוץ לרשת. במידה וכל המשתמשים ננעלים ניתן יהיה להעלות עם החשבון החדש שנוצר במצב

Active Directory Restore Mode) ADRM).

 

———————————————-

Nir Valtman

Information Security Consultant

www.avnet.co.il

———————————————

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *