BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Защита встроенной учетной записи Администратора  (Прочитано 1185 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Здравствуйте!

Все действия происходят в домене через групповые политики

Поехали....

Открываем редактор групповых политик и создаем новую групповую политику, называем ее как нибудь понятно, допустим "Политика для встроенной учетной записи Администратора (PC/US)"

В ветке Конфигурация компьютера идем в Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности

Находим политику с названием "Доступ к сети: Разрешить трансляцию анонимного SID в имя" меняем параметр на "Отключено"

Далее там же идем в политику Учетные записи и находим политику под названием "Учетные записи: Состояние учетной записи 'Администратор'" ставим параметр "Включено"

Далее в ветке Конфигурацию пользователя идем в Параметры панели управления -> Локальные пользователи и группы

Создаем нового Локального пользователя с параметрами:
Действие: Обновить
Пользователь: Администратор (встроенная учетная запись)
Переименовать: Придумываете имя для встроенной учетной записи Администратора
Полное имя: Обязательно оставляем поле пустым!
Описание: Обязательно оставляем поле пустым!
Пароль: Придумываем сложный пароль
Подтверждение: Подтверждаем пароль

Ставим птички на пунктах:
Запретить смену пароля пользователя
Срок действия пароля не ограничен
Срок действия учетной записи не ограничен

Все остальное оставляем по умолчанию и нажимаем ОК

Создаем еще одного пользователя с параметрами:
Действие: Создать
Пользователь: Администратор
Полное имя: Администратор
Описания: Встроенная учетная запись администратора компьютера/домена
Пароль: Какой нибудь не сильно офигенный
Подтверждение: Подтверждаем пароль

Ставим птички на пунктах:
Запретить смену пароля пользователя
Срок действия пароля не ограничен
Срок действия учетной записи не ограничен

Все остальное оставляем по умолчанию и нажимаем ОК

Применяем данную политику на контейнер в котором у вас находятся все сотрудники организации (Не на глобальную ветку всего домена рядом с Default Domain Policy) иначе встроенная учетная запись Администратора домена тоже изменится

После этого перезагружаем все машины в домене и после ребута получаем следующую картину:
Фейковая учетная запись под именем Администратор, с правильным описанием, которая не в какую группу не входит и не имеет никаких прав для того чтобы сломать системные файлы и.т.д

Реальная встроенная учетная запись Администратора переименованная по нашему и с заковыристым паролем, которая не имеет никаких указателей на то что она является встроенной учеткой Администратора (Описание отсутствует, имя отсутствует). Так же, выше в политиках, мы запретили трансляцию SID. А значит, Вирус или любой другой зловред не сможет отследить учетку по ее SID (учетная запись встроенного Администратора имеет в конце SID-а цифры "500") если SID не скрыть, то учетку можно будет откопать по ее SID-у и переименование тут не спасет.

Все действия тестировались на виртуальной машине на которой стоит Windows Server 2008 R2 и пара клиентских машин.

Так же в конце данной простынке присутствуют скриншотики.

Самокат не мой, я просто собрал все в кучу. Может чуть чуть отсебятины впихнул.

Есть у кого то дополнения по данной теме? Выслушаю и запишу в тетрадку
« Последнее редактирование: Декабрь 29, 2015, 10:44:01 pm от ScreN »

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8203
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Защита встроенной учетной записи Администратора
« Ответ #1 : Декабрь 30, 2015, 09:41:26 am »
Тоже верно, спасибо )) Но все же записывай в тетрадку:
Локального админа (любого админа) можно вычислить по членству в группах, по факту его наименование или точнее сказать переименование - "защита от дурака", для меня это абстрактное понятие, будучи вирусописателем, я бы не "ломился" под стандартыми названиями учетных записей, вместо этого вычислил бы привилигерованные группы, далее вычислил их членов, далее вычислил их состояние (включен, отключен, срок жизни пароля, этот пользователь текущий или не текущий и т.п.) и дальше бы действовал по по обстоятельствам...

Далее будучи администратором, я бы применил политику, которая постоянно "чистит" членов группы (та самя политика "Ограничения прав"), но опять же не забываем про имперсонализацию, когда тот же вирус может действовать из-под текущей, либо иной учетной записи...

Далее обрати внимание на политики запускаемых приложений (типа Restricted policy), тем самым ты можешь попытаться снизить круг запускаемых исполняемых файлов и приложений, по хорошему все это дело совместить с ПО, которое позволяет контролировать запуск приложений и их состояний (еще лучше например с функцией NAC)

Проконтролировать съемные устройства, доступ к общим ресурсам...

Последнее время все эти меры достаточно условны и являются "базовыми", основными дырками считаю - самих пользователей (человеческий фактор), браузеры, почту (почтовые приложения) то бишь "точками" связанными с интернетом, так как можно действовать от имени обычного пользователя, а лучше директорв или топ менеджеров, уж у них точно есть доступ к разным "вкусняшкам" (про учетки айтишников и т.п. промочу) ))

P.S. недавно в чате было обсуждение - как запустить блокнот или калькулятор из-под друго пользователя, не зная его пароля... Казалось бы шутка, "игрушка" но если приложить в эти действия особый смысл или цель, совсем другая история может получиться... Так что про мониторинг так же стоит забывать... и успокаивать себя думая что ты в безопасности ))
« Последнее редактирование: Декабрь 30, 2015, 09:43:38 am от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Защита встроенной учетной записи Администратора
« Ответ #2 : Декабрь 30, 2015, 10:36:30 am »
Тоже верно, спасибо )) Но все же записывай в тетрадку:
Локального админа (любого админа) можно вычислить по членству в группах, по факту его наименование или точнее сказать переименование - "защита от дурака", для меня это абстрактное понятие, будучи вирусописателем, я бы не "ломился" под стандартыми названиями учетных записей, вместо этого вычислил бы привилигерованные группы, далее вычислил их членов, далее вычислил их состояние (включен, отключен, срок жизни пароля, этот пользователь текущий или не текущий и т.п.) и дальше бы действовал по по обстоятельствам...

Далее будучи администратором, я бы применил политику, которая постоянно "чистит" членов группы (та самя политика "Ограничения прав"), но опять же не забываем про имперсонализацию, когда тот же вирус может действовать из-под текущей, либо иной учетной записи...

Далее обрати внимание на политики запускаемых приложений (типа Restricted policy), тем самым ты можешь попытаться снизить круг запускаемых исполняемых файлов и приложений, по хорошему все это дело совместить с ПО, которое позволяет контролировать запуск приложений и их состояний (еще лучше например с функцией NAC)

Проконтролировать съемные устройства, доступ к общим ресурсам...

Последнее время все эти меры достаточно условны и являются "базовыми", основными дырками считаю - самих пользователей (человеческий фактор), браузеры, почту (почтовые приложения) то бишь "точками" связанными с интернетом, так как можно действовать от имени обычного пользователя, а лучше директорв или топ менеджеров, уж у них точно есть доступ к разным "вкусняшкам" (про учетки айтишников и т.п. промочу) ))

P.S. недавно в чате было обсуждение - как запустить блокнот или калькулятор из-под друго пользователя, не зная его пароля... Казалось бы шутка, "игрушка" но если приложить в эти действия особый смысл или цель, совсем другая история может получиться... Так что про мониторинг так же стоит забывать... и успокаивать себя думая что ты в безопасности ))

Ну я понимаю что это базовые методы, но для новичков сойдет же.
Я просто сам заюзал у себя такую штуку и  решил сложить все в один пост. Может кому то пригодится, кому будет интересен данный вопрос типа "безопасности" :)

Я то и сам понимаю что от этих действий безопаснее сильно не станешь, но та же защита от дурака, пусть работает :) Есть же люди которые даже и такое настроить не могут, потому что не понимают как и что нужно нажать. А тут все в одном посте с подробным описанием :)

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8203
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Защита встроенной учетной записи Администратора
« Ответ #3 : Декабрь 30, 2015, 10:44:45 am »
Как ни крути инфа полезна, держи + за инициативность! Продолжай в таком же духе )


xx
Включение локальной учетной записи

Автор sysadmin

0 Ответов
2004 Просмотров
Последний ответ Январь 13, 2010, 10:39:42 am
от sysadmin
xx
Создание сервисной учетной записи в AD (2008R2)

Автор sysadmin

1 Ответов
3498 Просмотров
Последний ответ Февраль 28, 2012, 02:29:33 pm
от sysadmin
xx
Настройка выбора доменной учетной записи и локальной в Windows 8

Автор bessmertnyi_poni

8 Ответов
480 Просмотров
Последний ответ Март 30, 2016, 02:29:17 pm
от bessmertnyi_poni
xx
Неактивна кнопка Browse (вкладка Location) в свойствах учетной записи компьютера

Автор sysadmin

0 Ответов
2456 Просмотров
Последний ответ Август 10, 2009, 03:01:23 pm
от sysadmin