Controlar Administrador Local

19/05/2008 - 17:30 por Ruben N. | Informe spam
Hola a todos,
tengo un dominio 2003 con muchos PC conectados (unos 1300) y
resulta que me consta que algún usuario ha conseguido la contraseña de
administrador local de los
equipos. Tengo la impresión que han aprovechado que algunos equipos todavía
arrancan desde CD o USB.

Mi pregunta es si existe alguna manera de auditar de alguna forma si los
usuarios ejecutan como administrador
cualquier cosa de forma que pueda detectar desde que equipos o con qué
usuarios están haciendo esto.

Otra pregunta es si hay alguna otra forma que no sea arrancando el PC desde
un CD o USB que puedan
estar usando para conseguir la password de administrador.

Muchas gracias.
Saludos.

Preguntas similare

Leer las respuestas

#1 Desiderio Ondo.
19/05/2008 - 18:42 | Informe spam
Hola, Rubén:

Lo que comentas se trata de un agujero de seguridad bastante grave, ya
que por lo general, <users> tienden precisamente a emplear la cuenta de
Admin. local para uso personal lucrativo, y la solución pasa por varios tipos
de estado corporativo. No son en absoluto agradables:

1.- Ante todo, proteger la BIOS de TODAS las estaciones de trabajo clientes
con password (después de haberlas configurado correctamente con "tonterías"
tales como arranque único por Hdd local, por ejemplo). Es pesado,largo y muy
molesto, pero con ello precisamente se evitan casos como arranques con CD's
fraudulentos para la compañía.

2.- Empleo de "Ingeniería social" para localizar a los usuarios que empleen
métodos no corporativos para la ejecución de programas y/o actividades que
puedan corromper el correcto funcionamiento de su sistema y por lo tanto,
dificultar tu tarea como Administrador. Hacer correr un "bulo" sobre lo bueno
que es <user> (el menos indicado, precisamente) para "picar" al verdadero,
y esperar que cometa el error de quejarse. SIEMPRE lo hacen.

3.- Revisar el Visor de Sucesos del <DC>, solapa "Seguridad" para comprobar
las horas de inicio de sesión en que sospechas hayan ejecutado las
aplicaciones
fraudulentas. Asimismo, desde el Admin. de equipos del <DC>, accede a la
ruta "Herram. del sistema => Carpetas compartidas => Archivos abiertos" y
verás que una de las columnas reza al nombre de "Modo de ejecución". Si no
está a "Solo lectura", podrás confirmar tus sospechas (sobre todo si coincide
con el directorio "Sesiones", ya qie te muestra si <user> ha iniciado la
sesión
con algún privilegio que no le corresponde.

Respondiendo directamente a tu pregunta sobre passwords, la respuesta más
simple que se me ocurre es sencillamente, la "Ingeniería social": basta que
hayas tenido un descuido (post-it, notepad, alguien viendo cómo la
escribes...)
para que <user> se haya dado cuenta por el método de "Ensayo y error". Lo
más normal suele ser que dicho <user> tiene privilegios de dominio superiores
a los de "Usuario del dominio", por lo que acceder al Admin. de equipos
local y
cambiar la pass del Admin. local es coser y cantar...
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Ruben N. @gva.es>" wrote:

Hola a todos,
tengo un dominio 2003 con muchos PC conectados (unos 1300) y
resulta que me consta que algún usuario ha conseguido la contraseña de
administrador local de los
equipos. Tengo la impresión que han aprovechado que algunos equipos todavía
arrancan desde CD o USB.

Mi pregunta es si existe alguna manera de auditar de alguna forma si los
usuarios ejecutan como administrador
cualquier cosa de forma que pueda detectar desde que equipos o con qué
usuarios están haciendo esto.

Otra pregunta es si hay alguna otra forma que no sea arrancando el PC desde
un CD o USB que puedan
estar usando para conseguir la password de administrador.

Muchas gracias.
Saludos.



Respuesta Responder a este mensaje
#2 Bryan Calderon
19/05/2008 - 19:27 | Informe spam
On 19 mayo, 10:42, Desiderio Ondo.
wrote:
Hola, Rubén:

Lo que comentas se trata de un agujero de seguridad bastante grave, ya
que por lo general, <users> tienden precisamente a emplear la cuenta de
Admin. local para uso personal lucrativo, y la solución pasa por varios tipos
de estado corporativo. No son en absoluto agradables:

1.- Ante todo, proteger la BIOS de TODAS las estaciones de trabajo clientes
con password (después de haberlas configurado correctamente con "tonterías"
tales como arranque único por Hdd local, por ejemplo). Es pesado,largo y muy
molesto, pero con ello precisamente se evitan casos como arranques con CD's
fraudulentos para la compañía.

2.- Empleo de "Ingeniería social" para localizar a los usuarios que empleen
métodos no corporativos para la ejecución de programas y/o actividades que
puedan corromper el correcto funcionamiento de su sistema y por lo tanto,
dificultar tu tarea como Administrador. Hacer correr un "bulo" sobre lo bueno
que es <user> (el menos indicado, precisamente) para "picar" al verdadero,
y esperar que cometa el error de quejarse. SIEMPRE lo hacen.

3.- Revisar el Visor de Sucesos del <DC>, solapa "Seguridad" para comprobar
las horas de inicio de sesión en que sospechas hayan ejecutado las
aplicaciones
fraudulentas. Asimismo, desde el Admin. de equipos del <DC>, accede a la
ruta "Herram. del sistema => Carpetas compartidas => Archivos abiertos" y
verás que una de las columnas reza al nombre de "Modo de ejecución". Si no
está a "Solo lectura", podrás confirmar tus sospechas (sobre todo si coincide
con el directorio "Sesiones", ya qie te muestra si <user> ha iniciado la
sesión
con algún privilegio que no le corresponde.

Respondiendo directamente a tu pregunta sobre passwords, la respuesta más
simple que se me ocurre es sencillamente, la "Ingeniería social": basta que
hayas tenido un descuido (post-it, notepad, alguien viendo cómo la
escribes...)
para que <user> se haya dado cuenta por el método de "Ensayo y error". Lo
más normal suele ser que dicho <user> tiene privilegios de dominio superiores
a los de "Usuario del dominio", por lo que acceder al Admin. de equipos
local y
cambiar la pass del Admin. local es coser y cantar...
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.http://pantuflo.escet.urjc.es/~desitech



"Ruben N. @gva.es>" wrote:
> Hola a todos,
> tengo un dominio 2003 con muchos PC conectados (unos 1300) y
> resulta que me consta que algún usuario ha conseguido la contraseña de
> administrador local de los
> equipos. Tengo la impresión que han aprovechado que algunos equipos todavía
> arrancan desde CD o USB.

> Mi pregunta es si existe alguna manera de auditar de alguna forma si los
> usuarios ejecutan como administrador
> cualquier cosa de forma que pueda detectar desde que equipos o con qué
> usuarios están haciendo esto.

> Otra pregunta es si hay alguna otra forma que no sea arrancando el PC desde
> un CD o USB que puedan
> estar usando para conseguir la password de administrador.

> Muchas gracias.
> Saludos.- Ocultar texto de la cita -

- Mostrar texto de la cita -



Se puede auditar cuentas para saber si algun usuario esta realizando
mal uso de los privilegios, de igual manera esto se puede realizar
creando una Group Policie para que te lo muestre en el eventvwr
Respuesta Responder a este mensaje
#3 Rubén Navarro
20/05/2008 - 08:47 | Informe spam
Muchas gracias Desiderio.
Come me temía voy a tener que recorrer todos los PCs de mi empresa :-(
Estaría bien que las BIOS también fuera posible actualizarlas de alguna
forma
centralizada desde el dominio o con alguna herramienta.

Saludos.

"Desiderio Ondo." escribió en el
mensaje news:
Hola, Rubén:

Lo que comentas se trata de un agujero de seguridad bastante grave, ya
que por lo general, <users> tienden precisamente a emplear la cuenta de
Admin. local para uso personal lucrativo, y la solución pasa por varios
tipos
de estado corporativo. No son en absoluto agradables:

1.- Ante todo, proteger la BIOS de TODAS las estaciones de trabajo
clientes
con password (después de haberlas configurado correctamente con
"tonterías"
tales como arranque único por Hdd local, por ejemplo). Es pesado,largo y
muy
molesto, pero con ello precisamente se evitan casos como arranques con
CD's
fraudulentos para la compañía.

2.- Empleo de "Ingeniería social" para localizar a los usuarios que
empleen
métodos no corporativos para la ejecución de programas y/o actividades que
puedan corromper el correcto funcionamiento de su sistema y por lo tanto,
dificultar tu tarea como Administrador. Hacer correr un "bulo" sobre lo
bueno
que es <user> (el menos indicado, precisamente) para "picar" al verdadero,
y esperar que cometa el error de quejarse. SIEMPRE lo hacen.

3.- Revisar el Visor de Sucesos del <DC>, solapa "Seguridad" para
comprobar
las horas de inicio de sesión en que sospechas hayan ejecutado las
aplicaciones
fraudulentas. Asimismo, desde el Admin. de equipos del <DC>, accede a la
ruta "Herram. del sistema => Carpetas compartidas => Archivos abiertos" y
verás que una de las columnas reza al nombre de "Modo de ejecución". Si no
está a "Solo lectura", podrás confirmar tus sospechas (sobre todo si
coincide
con el directorio "Sesiones", ya qie te muestra si <user> ha iniciado la
sesión
con algún privilegio que no le corresponde.

Respondiendo directamente a tu pregunta sobre passwords, la respuesta más
simple que se me ocurre es sencillamente, la "Ingeniería social": basta
que
hayas tenido un descuido (post-it, notepad, alguien viendo cómo la
escribes...)
para que <user> se haya dado cuenta por el método de "Ensayo y error". Lo
más normal suele ser que dicho <user> tiene privilegios de dominio
superiores
a los de "Usuario del dominio", por lo que acceder al Admin. de equipos
local y
cambiar la pass del Admin. local es coser y cantar...
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Ruben N. @gva.es>" wrote:

Hola a todos,
tengo un dominio 2003 con muchos PC conectados (unos 1300) y
resulta que me consta que algún usuario ha conseguido la contraseña de
administrador local de los
equipos. Tengo la impresión que han aprovechado que algunos equipos
todavía
arrancan desde CD o USB.

Mi pregunta es si existe alguna manera de auditar de alguna forma si los
usuarios ejecutan como administrador
cualquier cosa de forma que pueda detectar desde que equipos o con qué
usuarios están haciendo esto.

Otra pregunta es si hay alguna otra forma que no sea arrancando el PC
desde
un CD o USB que puedan
estar usando para conseguir la password de administrador.

Muchas gracias.
Saludos.



Respuesta Responder a este mensaje
#4 Rubén Navarro
20/05/2008 - 08:57 | Informe spam
Hola Bryan,
he activado la auditoria de uso de privilegios (supongo que eso me puede
ayudar). ¿Tengo que activar alguna más?
Por otra parte, ¿cómo dices que puedo hacer que aparezca en el visor de
sucesos??

Gracias.


"Bryan Calderon" escribió en el mensaje
news:
On 19 mayo, 10:42, Desiderio Ondo.
wrote:
Hola, Rubén:

Lo que comentas se trata de un agujero de seguridad bastante grave, ya
que por lo general, <users> tienden precisamente a emplear la cuenta de
Admin. local para uso personal lucrativo, y la solución pasa por varios
tipos
de estado corporativo. No son en absoluto agradables:

1.- Ante todo, proteger la BIOS de TODAS las estaciones de trabajo
clientes
con password (después de haberlas configurado correctamente con
"tonterías"
tales como arranque único por Hdd local, por ejemplo). Es pesado,largo y
muy
molesto, pero con ello precisamente se evitan casos como arranques con
CD's
fraudulentos para la compañía.

2.- Empleo de "Ingeniería social" para localizar a los usuarios que
empleen
métodos no corporativos para la ejecución de programas y/o actividades que
puedan corromper el correcto funcionamiento de su sistema y por lo tanto,
dificultar tu tarea como Administrador. Hacer correr un "bulo" sobre lo
bueno
que es <user> (el menos indicado, precisamente) para "picar" al verdadero,
y esperar que cometa el error de quejarse. SIEMPRE lo hacen.

3.- Revisar el Visor de Sucesos del <DC>, solapa "Seguridad" para
comprobar
las horas de inicio de sesión en que sospechas hayan ejecutado las
aplicaciones
fraudulentas. Asimismo, desde el Admin. de equipos del <DC>, accede a la
ruta "Herram. del sistema => Carpetas compartidas => Archivos abiertos" y
verás que una de las columnas reza al nombre de "Modo de ejecución". Si no
está a "Solo lectura", podrás confirmar tus sospechas (sobre todo si
coincide
con el directorio "Sesiones", ya qie te muestra si <user> ha iniciado la
sesión
con algún privilegio que no le corresponde.

Respondiendo directamente a tu pregunta sobre passwords, la respuesta más
simple que se me ocurre es sencillamente, la "Ingeniería social": basta
que
hayas tenido un descuido (post-it, notepad, alguien viendo cómo la
escribes...)
para que <user> se haya dado cuenta por el método de "Ensayo y error". Lo
más normal suele ser que dicho <user> tiene privilegios de dominio
superiores
a los de "Usuario del dominio", por lo que acceder al Admin. de equipos
local y
cambiar la pass del Admin. local es coser y cantar...
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.http://pantuflo.escet.urjc.es/~desitech



"Ruben N. @gva.es>" wrote:
> Hola a todos,
> tengo un dominio 2003 con muchos PC conectados (unos 1300) y
> resulta que me consta que algún usuario ha conseguido la contraseña de
> administrador local de los
> equipos. Tengo la impresión que han aprovechado que algunos equipos
> todavía
> arrancan desde CD o USB.

> Mi pregunta es si existe alguna manera de auditar de alguna forma si los
> usuarios ejecutan como administrador
> cualquier cosa de forma que pueda detectar desde que equipos o con qué
> usuarios están haciendo esto.

> Otra pregunta es si hay alguna otra forma que no sea arrancando el PC
> desde
> un CD o USB que puedan
> estar usando para conseguir la password de administrador.

> Muchas gracias.
> Saludos.- Ocultar texto de la cita -

- Mostrar texto de la cita -



Se puede auditar cuentas para saber si algun usuario esta realizando
mal uso de los privilegios, de igual manera esto se puede realizar
creando una Group Policie para que te lo muestre en el eventvwr
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida