È possibile non memorizzare le password localmente, del tutto?

15

All'inizio di quest'anno giocavo ai computer della scuola e ho scoperto la password amministrativa di un computer nella mia classe. Mi sono reso conto di come XP memorizzava le loro password, avviava in Ubuntu e prendeva i file SAM e SYSTEM. Mi chiedevo se fosse possibile archiviare queste password su un computer remoto e utilizzare i desktop roaming, in modo che se un sistema venisse compromesso le password sarebbero comunque al sicuro perché non erano memorizzate sul computer locale, ma una remota che verifica solo il loro accesso al dominio? Sarebbe idealmente un server per computer bloccato in qualche posto come nell'ufficio o nell'armadio della rete, ma qualsiasi consiglio o commento sull'argomento sarebbe bello. Grazie per l'aiuto

    
posta cutrightjm 13.12.2011 - 18:52
fonte

3 risposte

18

Sì, è necessario disporre del computer su un dominio e disabilitare la memorizzazione nella cache delle password . Sappi che se lo fai riceverai l'errore "Il sistema non può collegarti ora perché il dominio non è disponibile." se il server di dominio è inattivo.

Questo può essere fatto impostando un criterio di gruppo per avere HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount impostato su 0.

    
risposta data 13.12.2011 - 19:00
fonte
5

Dimentica Kerberos, è troppo laborioso / costoso da implementare. Il poster di questa domanda ha avuto un valido "momento eureka". Ma, sembra dimenticare che mentre le password non sono più memorizzate nella cache del suo scenario, possono comunque essere annusate e catturate sul filo.

Tuttavia, il principio principale dell'osservazione del poster (ad esempio, eliminare i collegamenti deboli e ridurre i vettori per l'attacco tramite l'archiviazione di credenziali su un server di identità centrale) rimane valido. Ho notato che questo stesso principio si è già tradotto in app e webware basati su cloud con aziende che offrono servizi Single Sign On (ovvero, memorizzando le credenziali su un server cloud centrale e sicuro per semplificare l'accesso e promuovere l'uso di password più complesse e diversificate) . Questi servizi si traducono in gestione delle identità ... molto più della semplice gestione delle password.

Il recente hack della Sony Playstation Network ha rivelato che anche gli utenti "esperti di tecnologia" e "attenti alla sicurezza" stanno riutilizzando la stessa password attraverso il numero sempre crescente di account online. Certo che erano ... e probabilmente lo sono ancora! Quante password può ricordare una persona? Solo un servizio Single Sign-On che può collegarsi ad Active Directory può avvicinarsi a una soluzione totale.

Qualcuno si imbatte in un'offerta di servizi come questa? Sono una beta-testing di una soluzione ora su www.smartsignin.com La crittografia implementata non utilizza una singola chiave "intera" sul proprio server di identità cloud in grado di decrittografare le credenziali memorizzate. Invece la chiave è divisa tra il server e il sistema dell'utente. L'utente controlla quindi la decrittazione in tempo reale dal proprio browser per ogni account a cui accede dal proprio nuovo profilo di identità centralizzato. Molto carino, penso. Hanno anche l'autenticazione a più fattori per impedire che le sessioni vengano hi-jacked. Dai un'occhiata e fammi sapere cosa ne pensi.

    
risposta data 14.12.2011 - 21:07
fonte
2

Come avevi appena dimostrato con il tuo avvio di Ubuntu, avrei anche provveduto a bloccare qualsiasi avvio USB o CD / DVD sulle macchine locali per impedire qualsiasi tentativo di aggiramento degli UAC AD (presumo) e potenzialmente ottenere l'accesso alla rete locale.

Se gli amministratori sono intelligenti, dovrebbero disporre di tutti i dati interni di un firewall (oltre che di dati esterni) per impedire che utenti non autorizzati presenti nel dominio locale girino su un'altra macchina o utente da qualche altra parte nel dominio o verso un altro dominio interamente per vari motivi nefasti.

    
risposta data 14.12.2011 - 09:09
fonte

Leggi altre domande sui tag