Sys-Admin Forum

Защита встроенной учетной записи Администратора

Здравствуйте!

Все действия происходят в домене через групповые политики

Поехали…

Открываем редактор групповых политик и создаем новую групповую политику, называем ее как нибудь понятно, допустим “Политика для встроенной учетной записи Администратора (PC/US)

В ветке Конфигурация компьютера идем в Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности

Находим политику с названием “Доступ к сети: Разрешить трансляцию анонимного SID в имя” меняем параметр на “Отключено

Далее там же идем в политику Учетные записи и находим политику под названием “Учетные записи: Состояние учетной записи ‘Администратор’” ставим параметр “Включено

Далее в ветке Конфигурацию пользователя идем в Параметры панели управления -> Локальные пользователи и группы

Создаем нового Локального пользователя с параметрами:
Действие: Обновить
Пользователь: Администратор (встроенная учетная запись)
Переименовать: Придумываете имя для встроенной учетной записи Администратора
Полное имя: Обязательно оставляем поле пустым!
Описание: Обязательно оставляем поле пустым!
Пароль: Придумываем сложный пароль
Подтверждение: Подтверждаем пароль

Ставим птички на пунктах:
Запретить смену пароля пользователя
Срок действия пароля не ограничен
Срок действия учетной записи не ограничен

Все остальное оставляем по умолчанию и нажимаем ОК

Создаем еще одного пользователя с параметрами:
Действие: Создать
Пользователь: Администратор
Полное имя: Администратор
Описания: Встроенная учетная запись администратора компьютера/домена
Пароль: Какой нибудь не сильно офигенный
Подтверждение: Подтверждаем пароль

Ставим птички на пунктах:
Запретить смену пароля пользователя
Срок действия пароля не ограничен
Срок действия учетной записи не ограничен

Все остальное оставляем по умолчанию и нажимаем ОК

Применяем данную политику на контейнер в котором у вас находятся все сотрудники организации (Не на глобальную ветку всего домена рядом с Default Domain Policy) иначе встроенная учетная запись Администратора домена тоже изменится

После этого перезагружаем все машины в домене и после ребута получаем следующую картину:
Фейковая учетная запись под именем Администратор, с правильным описанием, которая не в какую группу не входит и не имеет никаких прав для того чтобы сломать системные файлы и.т.д

Реальная встроенная учетная запись Администратора переименованная по нашему и с заковыристым паролем, которая не имеет никаких указателей на то что она является встроенной учеткой Администратора (Описание отсутствует, имя отсутствует). Так же, выше в политиках, мы запретили трансляцию SID. А значит, Вирус или любой другой зловред не сможет отследить учетку по ее SID (учетная запись встроенного Администратора имеет в конце SID-а цифры “500”) если SID не скрыть, то учетку можно будет откопать по ее SID-у и переименование тут не спасет.

Все действия тестировались на виртуальной машине на которой стоит Windows Server 2008 R2 и пара клиентских машин.

Так же в конце данной простынке присутствуют скриншотики.
[hr]
Самокат не мой, я просто собрал все в кучу. Может чуть чуть отсебятины впихнул.

Есть у кого то дополнения по данной теме? Выслушаю и запишу в тетрадку


Тоже верно, спасибо )) Но все же записывай в тетрадку:
Локального админа (любого админа) можно вычислить по членству в группах, по факту его наименование или точнее сказать переименование - “защита от дурака”, для меня это абстрактное понятие, будучи вирусописателем, я бы не “ломился” под стандартыми названиями учетных записей, вместо этого вычислил бы привилигерованные группы, далее вычислил их членов, далее вычислил их состояние (включен, отключен, срок жизни пароля, этот пользователь текущий или не текущий и т.п.) и дальше бы действовал по по обстоятельствам…

Далее будучи администратором, я бы применил политику, которая постоянно “чистит” членов группы (та самя политика “Ограничения прав”), но опять же не забываем про имперсонализацию, когда тот же вирус может действовать из-под текущей, либо иной учетной записи…

Далее обрати внимание на политики запускаемых приложений (типа Restricted policy), тем самым ты можешь попытаться снизить круг запускаемых исполняемых файлов и приложений, по хорошему все это дело совместить с ПО, которое позволяет контролировать запуск приложений и их состояний (еще лучше например с функцией NAC)

Проконтролировать съемные устройства, доступ к общим ресурсам…

Последнее время все эти меры достаточно условны и являются “базовыми”, основными дырками считаю - самих пользователей (человеческий фактор), браузеры, почту (почтовые приложения) то бишь “точками” связанными с интернетом, так как можно действовать от имени обычного пользователя, а лучше директорв или топ менеджеров, уж у них точно есть доступ к разным “вкусняшкам” (про учетки айтишников и т.п. промочу) ))

P.S. недавно в чате было обсуждение - как запустить блокнот или калькулятор из-под друго пользователя, не зная его пароля… Казалось бы шутка, “игрушка” но если приложить в эти действия особый смысл или цель, совсем другая история может получиться… Так что про мониторинг так же стоит забывать… и успокаивать себя думая что ты в безопасности ))

Ну я понимаю что это базовые методы, но для новичков сойдет же.
Я просто сам заюзал у себя такую штуку и решил сложить все в один пост. Может кому то пригодится, кому будет интересен данный вопрос типа “безопасности” :slight_smile:

Я то и сам понимаю что от этих действий безопаснее сильно не станешь, но та же защита от дурака, пусть работает :slight_smile: Есть же люди которые даже и такое настроить не могут, потому что не понимают как и что нужно нажать. А тут все в одном посте с подробным описанием :slight_smile:

Как ни крути инфа полезна, держи + за инициативность! Продолжай в таком же духе )