Controlar Administrador Local

19/05/2008 - 17:30 por Ruben N. | Informe spam
Hola a todos,
tengo un dominio 2003 con muchos PC conectados (unos 1300) y
resulta que me consta que algún usuario ha conseguido la contraseña de
administrador local de los
equipos. Tengo la impresión que han aprovechado que algunos equipos todavía
arrancan desde CD o USB.

Mi pregunta es si existe alguna manera de auditar de alguna forma si los
usuarios ejecutan como administrador
cualquier cosa de forma que pueda detectar desde que equipos o con qué
usuarios están haciendo esto.

Otra pregunta es si hay alguna otra forma que no sea arrancando el PC desde
un CD o USB que puedan
estar usando para conseguir la password de administrador.

Muchas gracias.
Saludos.
 

Leer las respuestas

#1 Desiderio Ondo.
19/05/2008 - 18:42 | Informe spam
Hola, Rubén:

Lo que comentas se trata de un agujero de seguridad bastante grave, ya
que por lo general, <users> tienden precisamente a emplear la cuenta de
Admin. local para uso personal lucrativo, y la solución pasa por varios tipos
de estado corporativo. No son en absoluto agradables:

1.- Ante todo, proteger la BIOS de TODAS las estaciones de trabajo clientes
con password (después de haberlas configurado correctamente con "tonterías"
tales como arranque único por Hdd local, por ejemplo). Es pesado,largo y muy
molesto, pero con ello precisamente se evitan casos como arranques con CD's
fraudulentos para la compañía.

2.- Empleo de "Ingeniería social" para localizar a los usuarios que empleen
métodos no corporativos para la ejecución de programas y/o actividades que
puedan corromper el correcto funcionamiento de su sistema y por lo tanto,
dificultar tu tarea como Administrador. Hacer correr un "bulo" sobre lo bueno
que es <user> (el menos indicado, precisamente) para "picar" al verdadero,
y esperar que cometa el error de quejarse. SIEMPRE lo hacen.

3.- Revisar el Visor de Sucesos del <DC>, solapa "Seguridad" para comprobar
las horas de inicio de sesión en que sospechas hayan ejecutado las
aplicaciones
fraudulentas. Asimismo, desde el Admin. de equipos del <DC>, accede a la
ruta "Herram. del sistema => Carpetas compartidas => Archivos abiertos" y
verás que una de las columnas reza al nombre de "Modo de ejecución". Si no
está a "Solo lectura", podrás confirmar tus sospechas (sobre todo si coincide
con el directorio "Sesiones", ya qie te muestra si <user> ha iniciado la
sesión
con algún privilegio que no le corresponde.

Respondiendo directamente a tu pregunta sobre passwords, la respuesta más
simple que se me ocurre es sencillamente, la "Ingeniería social": basta que
hayas tenido un descuido (post-it, notepad, alguien viendo cómo la
escribes...)
para que <user> se haya dado cuenta por el método de "Ensayo y error". Lo
más normal suele ser que dicho <user> tiene privilegios de dominio superiores
a los de "Usuario del dominio", por lo que acceder al Admin. de equipos
local y
cambiar la pass del Admin. local es coser y cantar...
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Ruben N. @gva.es>" wrote:

Hola a todos,
tengo un dominio 2003 con muchos PC conectados (unos 1300) y
resulta que me consta que algún usuario ha conseguido la contraseña de
administrador local de los
equipos. Tengo la impresión que han aprovechado que algunos equipos todavía
arrancan desde CD o USB.

Mi pregunta es si existe alguna manera de auditar de alguna forma si los
usuarios ejecutan como administrador
cualquier cosa de forma que pueda detectar desde que equipos o con qué
usuarios están haciendo esto.

Otra pregunta es si hay alguna otra forma que no sea arrancando el PC desde
un CD o USB que puedan
estar usando para conseguir la password de administrador.

Muchas gracias.
Saludos.



Preguntas similares