а домен админы не логонятся на раб. станции »
в идеале нет, а на практике это происходит часто.
это всё при условии наличия привода или физического доступа к хосту + отсутствия шифрования разделов. »
Можно загрузиться по PXE со своего ноутбука на котором поднят нужный софт.

но согласитесь, что ждать чуда в виде логона домен админа это немножно не оправданно »

его можно и не ждать (хотя в идеале это самый быстрый вариант). можно при получении одной станции постепенно найти нужные данные (хэши, сохраненные пароли и пр.).

пароли =>9 »

у вас пароль админа какой длины? среднестатистические пароль в 50% случаев ДО 10 символов.

я хочу сказать что при получении физического доступа »
стоп стоп стоп. при наличие физического доступа мы можем сделать ВСЁ что угодно.
а домен админы не логонятся на раб. станции »
в идеале нет, а на практике это происходит часто. »
я да. хотя надо напомнить начальству про RUN AS... на прошлой работе перешли на него...

если нужно получить доступ администратора, мне больше по душе вот это: http://www.exonix.ru/?etqcpujomt0yv1hgrtpy5ec.htm

я да. хотя надо напомнить начальству про RUN AS... »
вызов runas все равно вызывает загрузку профиля.

создайте отдельную группу для управления рабочими станциями и отдельную для управления серверами.

в идеале нет, а на практике это происходит часто. »
возможно, это зависит от того кто проектирует данную инфраструктуру и от того кто администриует её.
если есть регламенты и чёткое понимание - то это только в теории возможно.
но соглашусь с вами, реальность такова, по крайней мере много где.
Можно загрузиться по PXE со своего ноутбука на котором поднят нужный софт. »
802.1x =)
привязка маков к портам. так что это тоже из области целенаправленного нарушения доступов, причём изнутри.
за это обычно руки ломают, как предупреждение.
рядовые пользователи никогда это не осилят, а не рядовых нанимать смыла нет - инсайдер в бухгалтерии эффективней и дешевле.
можно при получении одной станции постепенно найти нужные данные (хэши, сохраненные пароли и пр.). »
не соглашусь. откуда? если там максимум есть группа саппортов, которые лок. админы.
у вас пароль админа какой длины? среднестатистические пароль в 50% случаев ДО 10 символов. »
на встроенном админе - 20, смена через генератор каждый месяц, пароль на бумажке в сейфе, учётная запись не используется.
на domain\administrators - 17, учётки периодически используеются.
операторы архива - 17.
локальные админы - 15, меняются скриптом, выключены.

хотелось бы вернуться в программам для перехвата(?)/взлома RDP.

cameron, вы приводите слишком идеальные условия.
хорошо если это так.

К сожалению за последние 10 лет я видел только несколько таких компаний, в большинстве своем в 9 случаях из десяти нарушаются все самые основные правила.

Группа саппорта уже кое что
1. на рабочих станциях могут храниться пароли или конфиги
2. есть шанс что вы найдете старый бэкап

И я не уверен что данные которые могут лежать на рабочей станции шифруются.
Не уверен что никто из саппорта не хранит в почте логинов или еще чего полезного.

802.1. хм. а что мне помешает вытащить шнурок и подключить кроссовером или принести простенький свич?

Кстати. про какое количество серверов вы говорите? 100-200-500?

локальные админы у вас отключены... хм. интересно... может встроенная запись локального администратора?
и как вы генерите пароли, скрипт в студию.
и как вы храните пароли на бумажке (это к слову о количестве серверов)..

Итог
1. Даже при описанной вами идеальной картинке всегда есть человеческий фактор
2. исключить абсолютно все нельзя.

PS процедура взлома вашей идеальной организации в результате будет выглядеть так - администратор привязывается к стулу .... :)

Про RDP. Не буду углубляться и для примера назову самое простое - Windows Credentrial Editor

Пора закругляться т.к. я верю в идеальные условия но на практике они оказываются недопроектированы и чаще всего при целенаправленной атаке на системы будет проще поменять вектор на социалку чем пытаться выжать что то из компьютеров.

Вопрос правильного проектирования очень важен, но вопрос поддержки и проверки у нас не так сильно вспоминается и когда проходит очередная проверка выясняется что у нас множество "чё та ни так".

Как остаток.
Вопрос успешности атаки заключается в ценности информации которую нужно получить а методика и время работы, а так же стоимость это уже вопрос отдельный.

cameron, вы приводите слишком идеальные условия.
хорошо если это так. »
я привожу условия в которых работаю я и люди которые у меня учатся.
и за 10 лет (а у нас видимо одинаковый стаж) я видела службы от имени domain\admin пару раз, хотя по вашим словам это сплошь и рядом.
.\admin - да, часто и много где.
Группа саппорта уже кое что
1. на рабочих станциях могут храниться пароли или конфиги »
пароли домен админа? может сразу интерпрайзов? и конфиги чего?
2. есть шанс что вы найдете старый бэкап »
чего?
И я не уверен что данные которые могут лежать на рабочей станции шифруются.
Не уверен что никто из саппорта не хранит в почте логинов или еще чего полезного. »
данные саппорта вам дадут только делегированные права на ОУ и возможность поглядеть на AD ну и получить rsop некоторых политик.
поглядеть это тоже много, но ABE для AD нет, к сожалению.
802.1. хм. а что мне помешает вытащить шнурок и подключить кроссовером или принести простенький свич? »
давайте уж проще вынимайте винчестер. мы говорим о чём? что нет вомзжности запретить вынуть винчестер? о да, нет.
Кстати. про какое количество серверов вы говорите? 100-200-500? »
где я говорила о серверах? хотите похвастаться?
локальные админы у вас отключены... хм. интересно... может встроенная запись локального администратора? »
да, у меня выключена учётная запись встроенного администратора, а это не очевидно?
и как вы генерите пароли, скрипт в студию. »
ну раз студия просит:
On Error Resume Next strComputer = "." Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery ("Select * from Win32_UserAccount Where LocalAccount = True") For Each objItem in colItems If Left (objItem.SID, 6) = "S-1-5-" and Right(objItem.SID, 4) = "-500" Then Set objUser = GetObject("WinNT://" & strComputer & "/" & objItem.name & ",user") objUser.SetPassword "PassW0rd" objUser.SetInfo End If Next , а вообще уже более 5-ти лет существует технология GPP, которая позволяется это делать без скриптов.
и как вы храните пароли на бумажке (это к слову о количестве серверов).. »
пароли локальных админов на серверах не записываются, они никому не нужны.
записывается пароль встроенной учётной записи domain\administrator.

PS процедура взлома вашей идеальной организации в результате будет выглядеть так - администратор привязывается к стулу .... »
ну наконец-то вы это поняли.
Про RDP. Не буду углубляться и для примера назову самое простое - Windows Credentrial Editor »
увы и ах, с правми пользователя, как обычно, мимо кассы. на 2008r2 даже из повышеной сессии мимо кассы. покажете ещё парочку?
Пора закругляться т.к. я верю в идеальные условия но на практике они оказываются недопроектированы и чаще всего при целенаправленной атаке на системы будет проще поменять вектор на социалку чем пытаться выжать что то из компьютеров. »
именно это я сказала выше.

cameron, вроде это был самый ваш большой пост... :)

Мдя.
Вы меня "умыли" :)

Я не хвастаюсь, но я видел очень много организаций где построена практически идеальная инфраструктура но при проведении пен-тестов она ложилась от 4 до 24 часов.

увы и ах, с правми пользователя, как обычно, мимо кассы. на 2008r2 даже из повышеной сессии мимо кассы »
Я уже не раз говорил что права локального администратора получить при наличии физического доступа пара пустяков.

про бэкапы и прочее. При желании на рабочей станции можно найти не только бэкапы но и пароли от почты, бэкапы конфигов оборудования и пр.

ну раз студия просит: »

неубедили. где алгоритм генерации пароля?
у меня пароли меняются раз в три месяца по алгоритму сходному с вот этим инструментом (http://wadmin.ru/password.php) (мин. длина 25 символов)

В общем я поднимаю руки (хотя изначально ни о чем не спорил а просто говорил что
1. лишние права вредны
2. получить права ничего не стоит
)

Меня только удивляет ваша вера в непогрешимость идеальной конфигурации. Если вы не видели косяков которые допускают люди в работе то вам повезло... завидую по белому :)

Мне же не так везет и чаще всего я вынужден анализировать то что есть и приводить его в порядок.

Мдя.
Вы меня "умыли" »
цель была другая и грустно что получилось так.
Я уже не раз говорил что права локального администратора получить при наличии физического доступа пара пустяков. »
про бэкапы и прочее. При желании на рабочей станции можно найти не только бэкапы но и пароли от почты, бэкапы конфигов оборудования и пр. »
ещё раз: на рабочих станциях пользователей не должно быть таких данных.
на рабочих станциях саппортов могут быть данные, с помощью которых можно получить некий регламентированный доступ.

если у вас можно получить физический доступ к серверам - то ваша статья вообще просто сотрясание воздуха.
если нет - то она не полна.
если использовать то что мы обсудили выше + SRP + грамотные права ntfs (а вы знаете как много мест в c:\windows куда может писать пользователь? =) )
плюс проводить аудит и следить на логами "безопасность" и таки прочитать "Протокол"(скачать (http://rghost.ru/5231338) приложила. да, с фамилией я наврала :( )
неубедили. где алгоритм генерации пароля? »
выключенных локальных админов? да его нет, просто придумывается набор символов.
без физического доступа это не так страшно.
Меня только удивляет ваша вера в непогрешимость идеальной конфигурации. »
а меня удивляет то, что вы читаете что я пишу, а понимаете что-то своё.
я нигде не говорила про идеальную конфигурацию и уж тем более не говорила что моя конфигурация идеальна.
Если вы не видели косяков которые допускают люди в работе то вам повезло... »
поверьте я видела ой как много, за несколько проектов по миграции с новеллов, гетерогенок, с разных раб групп, с разных подходов "безопасности" аля 2 ПК у каждого пользователя.
Мне же не так везет и чаще всего я вынужден анализировать то что есть и приводить его в порядок. »

я тоже занимаюсь этим :)
просто физический доступ должен быть ограничен и точка.

На этом и закончим.
У вас правильное убеждение и понимание как именно все должно быть, у меня опыт того что "должно быть" и "как есть" чаще всего сильно отличаются. Практика неоднократно доказывала что хорошо спланированные структуры со временем изменялись до неузнаваемости и убеждение в том что "у нас все правильно" быстро рассеивалось когда начинал копать, но были и структуры достойные уважения и всяческих похвал т.к. они имели четко регламентируемые и соблюдаемые правила с хорошо продуманным (иногда неоправданно) делегированием.

Часть структур со временем перебирала с регламентами и постепенно бумажки захватывали верх (красивые отчеты, отписки и пр.) и за этим терялась основная мысль.

Проекты реализованные "по пожарному" без подготовки и тестирования становились громадными дырами в безопасности.

просто физический доступ должен быть ограничен и точка. »
Я об этом говорил с самого начала.

Спасибо за приятную, иногда казалось что одностороннюю, беседу.

С Уважением,
Сергей.