L'amministratore locale ha i diritti di amministratore di dominio

2

Durante l'installazione di una nuova macchina XP che non era stata collegata al dominio stavo navigando in un percorso UNC e non è stata richiesta l'autenticazione. Poi sono andato alle diverse unità mappate e ho scoperto che avevo pieno accesso a tutti i file e le cartelle sulla rete.

Ero connesso al computer come account amministratore locale che aveva lo stesso nome di un amministratore di dominio. Potrebbe essere stato questo il motivo per cui ho avuto accesso illimitato utilizzando l'account locale su un computer che non è stato aggiunto al dominio? In tal caso, quali misure dovrei prendere per garantire questo.

In aggiunta a questo abbiamo recentemente sperimentato il malware cryptolocker ed è stato in grado di crittografare file a cui l'utente host non ha avuto accesso, quindi ho il sospetto che la vulnerabilità di cui sopra sia correlata.

    
posta user32364 23.10.2013 - 20:27
fonte

1 risposta

3

Se l'utente locale ha la stessa password dell'account di dominio con lo stesso nome, sì si verrà automaticamente riconosciuti sui server remoti come lo stesso utente, e quindi con privilegi elevati.

Questo è noto come "pass through authentication". La ragione per cui questo funziona è perché il token di sicurezza viene emesso in base alla conoscenza del nome utente e della password dell'account - il dominio non è considerato in questo contesto (ma ovviamente è usato come fonte di autenticazione).
Ancora sicuro, dato che ovviamente conosci la password ...

    
risposta data 23.10.2013 - 21:24
fonte

Leggi altre domande sui tag