MUY IMPORTANTE; CD para Crackear password administrador del Dominio

Siempre que se tiene acceso físico a un equipo se puede trastear con él y
hacer de todo. Podrías proteger por contraseña la BIOS y quitar la
posibilidad de iniciar por CD, pero hasta eso es fácilmente saltable (basta
googlear un poco para ver cómo se quita la contraseña de la BIOS). La única
opción casi segura sería quitar la disquetera y el CD, pero aun así se
pueden volver a pinchar cuando se tiene acceso físico al equipo (basta que
el atacante lo lleve en su "maletín de herramientas"). Lo mejor es que no te
logues nunca con el administrador del dominio en un equipo cliente, para que
así, si sacan alguna contraseña, no sea la éste.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Róbame a la novia para escribirme)


Fue Tolo () quien, en el mensaje
dtud11$pgg$, con sus deditos
escribió:

HOla,

El otro día perdí una password de admin local de un pc, que saqué del
dominio y luego no lo podía volver a meter ni entrar, pues no tenía
ningún otro usuario creado.

Mirando encontré un CD bootable que lo metes, reinicias, se ejecuta
el cd, y magia, te saca todas las passwords que hay registradas en
ese PC. No lo he probado con ningún pc del dominio pero me imagino
que te dará las de todos los usuarios uqe se han loggeado en el.

En un XP Home funciona, en menos de 30seg ya me había sacado mi
password.
Alguien sabe si hay alguna forma de protegerse de eso. Me imagino que
si la hay será a partir de algún software adicional.

No se, esto es muy peligroso

O bueno lo mas importante es proteger el acceso fisico al equipo.

Como dijo Fernando Reyes, si tiene acceso fisico al equipo no podemos hacer
nada.

Manten el servidor o los servidores en un area que no muchos tengan acceso,
bajo llave.
-TFJR-
Venezuela


"Fernando Reyes [MS MVP]" escribió:

Siempre que se tiene acceso físico a un equipo se puede trastear con él y
hacer de todo. Podrías proteger por contraseña la BIOS y quitar la
posibilidad de iniciar por CD, pero hasta eso es fácilmente saltable (basta
googlear un poco para ver cómo se quita la contraseña de la BIOS). La única
opción casi segura sería quitar la disquetera y el CD, pero aun así se
pueden volver a pinchar cuando se tiene acceso físico al equipo (basta que
el atacante lo lleve en su "maletín de herramientas"). Lo mejor es que no te
logues nunca con el administrador del dominio en un equipo cliente, para que
así, si sacan alguna contraseña, no sea la éste.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Róbame a la novia para escribirme)


Fue Tolo () quien, en el mensaje
dtud11$pgg$, con sus deditos
escribió:


> HOla,
>
> El otro día perdí una password de admin local de un pc, que saqué del
> dominio y luego no lo podía volver a meter ni entrar, pues no tenía
> ningún otro usuario creado.
>
> Mirando encontré un CD bootable que lo metes, reinicias, se ejecuta
> el cd, y magia, te saca todas las passwords que hay registradas en
> ese PC. No lo he probado con ningún pc del dominio pero me imagino
> que te dará las de todos los usuarios uqe se han loggeado en el.
>
> En un XP Home funciona, en menos de 30seg ya me había sacado mi
> password.
> Alguien sabe si hay alguna forma de protegerse de eso. Me imagino que
> si la hay será a partir de algún software adicional.
>
> No se, esto es muy peligroso

Note que si puede iniciar por cd o disket cualquier maquina hay una buena cantidad de herramientas para diferentes sistemas operativos para transgredir un sistema. Sea el que sea. La seguridad fisica no la protege ningun sistema operacional. Adicionalmente si yo puedo apagar una maquina y reiniciar por otro medio, no es mas facil poner un disco y sacarle una copia al que esta y asi nadie se da cuenta? y en la casa reviso que obtuve?

Para evitar esto se puede colocar politicas para restriccion de grupos quitando los que no estan autorizados como administradores, cambio de password del administrador al iniciar la maquina (asi por mas que lo cambies con el cd o disket se restablecera al arrancar.) y lo mejor en caso de necesitar mayor seguridad es desabilitar la cuenta de administrador local con una politica o con otra politica hacer que una cuenta administradora se comporte como si fuera una de usuarios en las estaciones...

La mayoria se preocupa por realizar aseguramiento (hardering) de la red externa atravez de firewall, etc etc... pero en la red interna no hay ley...

grave error, algun dia entenderan por que es muy importante el hardering de el escritorio...

­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
" Tolo" wrote in message news:dtud11$pgg$

HOla,

El otro día perdí una password de admin local de un pc, que saqué del
dominio y luego no lo podía volver a meter ni entrar, pues no tenía ningún
otro usuario creado.

Mirando encontré un CD bootable que lo metes, reinicias, se ejecuta el cd, y
magia, te saca todas las passwords que hay registradas en ese PC. No lo he
probado con ningún pc del dominio pero me imagino que te dará las de todos
los usuarios uqe se han loggeado en el.

En un XP Home funciona, en menos de 30seg ya me había sacado mi password.

Alguien sabe si hay alguna forma de protegerse de eso. Me imagino que si la
hay será a partir de algún software adicional.

No se, esto es muy peligroso

¿La opción de cambiar la password del administrador "al iniciar la máquina"
(supongo que te refieres al iniciar sesión en el dominio) se puede
configurar directamente en las Directivas del Dominio de Active Directory o
si por el contrario hace falta algún script?

Me interesaría para cambiar la clave del administrador local de todos los
clientes de forma centralizada (ya que en la actualidad hay varias
distintas) y sólo veo algunas opciones en la Directiva del Dominio para
cambiar el nombre de la cuenta de administrador o deshabilitarla, pero nada
sobre lo de cambiar la clave al inicio...

Gracias.


"Rodolfo Parrado Gutiérrez [MVP]" escribió en
el mensaje news:%
Note que si puede iniciar por cd o disket cualquier maquina hay una buena
cantidad de herramientas para diferentes sistemas operativos para
transgredir un sistema. Sea el que sea. La seguridad fisica no la protege
ningun sistema operacional. Adicionalmente si yo puedo apagar una maquina y
reiniciar por otro medio, no es mas facil poner un disco y sacarle una copia
al que esta y asi nadie se da cuenta? y en la casa reviso que obtuve?

Para evitar esto se puede colocar politicas para restriccion de grupos
quitando los que no estan autorizados como administradores, cambio de
password del administrador al iniciar la maquina (asi por mas que lo cambies
con el cd o disket se restablecera al arrancar.) y lo mejor en caso de
necesitar mayor seguridad es desabilitar la cuenta de administrador local
con una politica o con otra politica hacer que una cuenta administradora se
comporte como si fuera una de usuarios en las estaciones...

La mayoria se preocupa por realizar aseguramiento (hardering) de la red
externa atravez de firewall, etc etc... pero en la red interna no hay ley...

grave error, algun dia entenderan por que es muy importante el hardering de
el escritorio...

­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.
­-
" Tolo" wrote in message
news:dtud11$pgg$

HOla,

El otro día perdí una password de admin local de un pc, que saqué del
dominio y luego no lo podía volver a meter ni entrar, pues no tenía ningún
otro usuario creado.

Mirando encontré un CD bootable que lo metes, reinicias, se ejecuta el cd,
y
magia, te saca todas las passwords que hay registradas en ese PC. No lo he
probado con ningún pc del dominio pero me imagino que te dará las de todos
los usuarios uqe se han loggeado en el.

En un XP Home funciona, en menos de 30seg ya me había sacado mi password.

Alguien sabe si hay alguna forma de protegerse de eso. Me imagino que si
la
hay será a partir de algún software adicional.

No se, esto es muy peligroso

Se debe colocar un script para ejecutarse al iniciar la maquina, no cuando esta iniciando el usuario sesion.

Debes asegurar la carpeta donde queda el script para que solo lo puedan leer los administradores del dominio y los computers domains, ya que el script se ejecuta es cuando se prende la estacion con la cuenta de la maquina. Debes quitar everyone, users o cualquier usuario o grupo que no quieras que lea el archivo.

defina una politica de inicio de sistema (no de usuario) y que tengan permisos de lectura los domain comouters y no los domain users y pone en la primera linea el password que quiere...
cada vez que la maquina prenda cambiara el password de administrador local (adicionalmnete podria restringir grupos y renombre la cuenta de administrador para estandarizar a todo el mundo con la misma)

note que el scrip cambia el password sin importar como se llame la cuenta de adminisrador local... solo cambia la cuenta de administrador local de las estaciones y servidores donde coloque la politica, no de los domain controllers


Cambiar password de administrador local estaciones scrip de inicio de maquinas..




sNewPassword = "testpassword"
Set oWshNet = CreateObject("WScript.Network")
sComputer = oWshNet.ComputerName
sAdminName = GetAdministratorName
On Error Resume Next
Set oUser = GetObject("WinNT://" & sComputer & "/" & sAdminName & ",user")
oUser.SetPassword sNewPassword
oUser.SetInfo
On Error Goto 0


Function GetAdministratorName()
Dim sUserSID, oWshNetwork, oUserAccount
Set oWshNetwork = CreateObject("WScript.Network")
Set oUserAccounts = GetObject( _
"winmgmts://" & oWshNetwork.ComputerName & "/root/cimv2") _
.ExecQuery("Select Name, SID from Win32_UserAccount" _
& " WHERE Domain = '" & oWshNetwork.ComputerName & "'")
On Error Resume Next
For Each oUserAccount In oUserAccounts
If Left(oUserAccount.SID, 9) = "S-1-5-21-" And _
Right(oUserAccount.SID, 4) = "-500" Then
GetAdministratorName = oUserAccount.Name
Exit For
End if
Next
End Function



­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
"NoGod" wrote in message news:duhe89$eie$

¿La opción de cambiar la password del administrador "al iniciar la máquina"
(supongo que te refieres al iniciar sesión en el dominio) se puede
configurar directamente en las Directivas del Dominio de Active Directory o
si por el contrario hace falta algún script?

Me interesaría para cambiar la clave del administrador local de todos los
clientes de forma centralizada (ya que en la actualidad hay varias
distintas) y sólo veo algunas opciones en la Directiva del Dominio para
cambiar el nombre de la cuenta de administrador o deshabilitarla, pero nada
sobre lo de cambiar la clave al inicio...

Gracias.


"Rodolfo Parrado Gutiérrez [MVP]" escribió en
el mensaje news:%
Note que si puede iniciar por cd o disket cualquier maquina hay una buena
cantidad de herramientas para diferentes sistemas operativos para
transgredir un sistema. Sea el que sea. La seguridad fisica no la protege
ningun sistema operacional. Adicionalmente si yo puedo apagar una maquina y
reiniciar por otro medio, no es mas facil poner un disco y sacarle una copia
al que esta y asi nadie se da cuenta? y en la casa reviso que obtuve?

Para evitar esto se puede colocar politicas para restriccion de grupos
quitando los que no estan autorizados como administradores, cambio de
password del administrador al iniciar la maquina (asi por mas que lo cambies
con el cd o disket se restablecera al arrancar.) y lo mejor en caso de
necesitar mayor seguridad es desabilitar la cuenta de administrador local
con una politica o con otra politica hacer que una cuenta administradora se
comporte como si fuera una de usuarios en las estaciones...

La mayoria se preocupa por realizar aseguramiento (hardering) de la red
externa atravez de firewall, etc etc... pero en la red interna no hay ley...

grave error, algun dia entenderan por que es muy importante el hardering de
el escritorio...

­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.
­-
" Tolo" wrote in message
news:dtud11$pgg$

HOla,

El otro día perdí una password de admin local de un pc, que saqué del
dominio y luego no lo podía volver a meter ni entrar, pues no tenía ningún
otro usuario creado.

Mirando encontré un CD bootable que lo metes, reinicias, se ejecuta el cd,
y
magia, te saca todas las passwords que hay registradas en ese PC. No lo he
probado con ningún pc del dominio pero me imagino que te dará las de todos
los usuarios uqe se han loggeado en el.

En un XP Home funciona, en menos de 30seg ya me había sacado mi password.

Alguien sabe si hay alguna forma de protegerse de eso. Me imagino que si
la
hay será a partir de algún software adicional.

No se, esto es muy peligroso