【問題】Administrator的密碼被user知道了該怎麼辦？

[phelimx]

說來真是慚愧
有一天我突然發現為什麼user可以自己灌OS，這還不誇張，誇張的是user自己加入Domain了
當場差點吐血

我們這邊的user不知道怎麼知道密碼的
我改過密碼用的更複雜了，但是有人就是知道
真是猜不透為什麼？

user現在很喜歡自己帶NB加入Domain，自己重灌OS
而且等於權限控管都無效了，這是我最擔心的事

目前懷疑有兩項
1.我再幫user加入網域時密碼被看到
2.Win2000的C 我有將權限鎖住，曾經懷疑過測錄密碼的程式，但是C被鎖住的話還有辦法執行嗎

3.同第二點，因為有些pc是Win98系統，無法管制的狀況下，若是有人刻意在裡面裝測錄程式的話，因為有時我會用管理者權限進去安裝軟體，懷疑是不是這個時候被盜用

不知道是否有其他更厲害的駭客伎倆...這麼容易就可以知道administrator的密碼喔

請問我應該怎麼解決這個問題？
麻煩各位幫幫我

[algolee]

抓到偷灌偷改電腦者，一律開除，絕不寬貸！ ==>這樣 user 應該會怕了
如果不怕，就表示他也不想呆了(不然就是有靠山或拳頭比你大)
這時要小心他背地亂搞或把機密資料偷帶走
對 user 有時不要太客氣，禮尚往來是好事，但是對會亂搞的 user 就不用客氣
因為這類的 user 除非用行政命令處罰，不然有時你也防不了他何時要再亂搞

[phelimx]

抓到偷灌偷改電腦者，一律開除，絕不寬貸！ ==>這樣 user 應該會怕了
如果不怕，就表示他也不想呆了(不然就是有靠山或拳頭比你大)
這時要小心他背地亂搞或把機密資料偷帶走
對 user 有時不要太客氣，禮尚往來是好事，但是對會亂搞的 user 就不用客氣
因為這類的 user 除非用行政命令處罰，不然有時你也防不了他何時要再亂搞

我想你說的這些是後續的問題
我也擔心他現在是還沒亂搞..若是貿然打草驚蛇 問題恐怕會更嚴重
根本問題還是要知道他是怎麼做到的
不然fire掉他，他又把『經驗』傳承給別人, 資料偷走
不然到時候老闆問你，你要怎麼解決時 答不出可所以然那就糟了

[phelimx]

補充一點 可以知道他是用那個帳號加入網域的嗎？
有點擔心是administrators 裡面的其中一個

[Schnaufer]

補充一點 可以知道他是用那個帳號加入網域的嗎？
有點擔心是administrators 裡面的其中一個

http://support.microsoft.com/kb/251335 => Domain Users Cannot Join Workstation or Server to a Domain
http://support.microsoft.com/kb/314462 => "You Have Exceeded the Maximum Number of Computer Accounts" Error Message When You Try to Join a Windows XP Computer to a Windows 2000 Domain

[phelimx]

http://support.microsoft.com/kb/251335 => Domain Users Cannot Join Workstation or Server to a Domain
http://support.microsoft.com/kb/314462 => "You Have Exceeded the Maximum Number of Computer Accounts" Error Message When You Try to Join a Windows XP Computer to a Windows 2000 Domain

可是這個應該是針對無法加入網域使用的吧

目前就是不知道user為什麼知道admin密碼
若是再將密碼更換難保user不會 重犯

我更擔心就算他不加入網域，利用admin帳號做什麼那真的是防不慎防

[mis339]

雖然我也都是用Administrator或我的帳號來幫使用者加入網域，但是我沒記錯的話，不一定要Administrators的成員也可以加入網域的樣子！

[Schnaufer]

可是這個應該是針對無法加入網域使用的吧

目前就是不知道user為什麼知道admin密碼
若是再將密碼更換難保user不會 重犯

我更擔心就算他不加入網域，利用admin帳號做什麼那真的是防不慎防

　　你的觀念不對吧！

...... Windows 2000 grants the "Add workstations to domain" privilege to the Authenticated Users group by default. When this privilege is enabled, authenticated users can bypass the access control list (ACL) check for up to a predefined maximum value. To prevent misuse, the maximum number of machine accounts any authenticated user can join is 10 by default. ......

[DAVID-BP]

冒味問一下 "USER可以自己灌OS" ?...這句話能不能說明更多一點
還有 有無加入某DOMAIN,又該如何查知?...感謝回覆..

[linux_xp]

在 AD 的架構下
會分成 server端的 AD 主機，和 Client端的使用者電腦（本機）

加入網域的條件基本有二：
1.Client端電腦必須使用「本機 Administrators」的權限，因為這個權限才能執行本機電腦中，加入 Domain 的程式。
2.在 AD主機中，必須擁有已經被授權的使用者帳號。

當員工自己帶 Laptop
因為是自己的電腦，當然會有「本機 Administrators」的權限
再來，他本來就有公司 Domain 的帳號 （AD 主機中 user帳號）
所以，他當然有辦法加入網域，不需要 AD 的 Administrators 權限
除非 AD 中，有額外設定必須輸入 AD 的 Admin 密碼才能加入 Domain

--------------------------------------------------------------------

這在 MCSE 中，應該有解決方法
例如於電腦成員中，可以鎖定 windows OS 的序號之類的
序號不對，就不是電腦成員，即使 user 成員通過，也無法加入
....或許吧，不清楚

另一種防範方法是來硬的
透過防火牆硬體/軟體，鎖電腦的 NIC MAC
抓出全公司合法主機的 MAC
除了開放這些 MAC 可以連入 AD 伺服器以外，其餘全部阻擋

那麼員工自己帶來的 Latptop，自然網卡 MAC 不會在允許清單裡面
封包也就無法連入 AD server，那就更別談要登入了
當然這個也是可以破解，利用軟體竄改網卡 MAC 就行了
只是聊勝於無，多一層保護總是好的

--------------------------------------------------------------

完整的 AD 控管，應該設定一但加入 Domain
電腦就完全由 AD 控管，本機帳號無法再進行登入，廢掉本機帳號登入權

那麼假設員工拿自己的 Laptop 加入 Domain
一加入，它那套 Windows 就毀了
除非退出網域，不然在沒 AD 的環境下，本機連登入都無法登入
就算登入，也是被控管權限

不過 W2K 可以藉由刪除 C:/winNT/system 底下的一個檔案
使電腦回覆到沒有任何帳號的情況
此時即可重新取回本機 Admin 控制權，XP 好像不行
只是這個破解法，必須拔硬碟到別台電腦處理才行，有一點麻煩

另外再登入時，安全性原則中，強迫必須輸入 [Ctrl] + [Alt] +[Del]
對於防止鍵盤測錄軟體，會有一點點效果
這個組合鍵會中斷所有執行中的背景程式
但遇到直接插 ps/2 或 usb 的硬體式測錄器，就沒轍了

再來就是最基本的功夫
要時常查看 AD 主機中的「事件檢視器」
看看誰，在什麼時候，有登入的動作
例如：Administrators 明明就你一個
但是在某個時間，你明明沒有做登入的動作
紀錄中卻有....那說明了，已經被入侵囉

當然高一點的駭客，肯定會清除自己入侵的足跡
不過還是聊勝於無，多檢查無妨

一台伺服器，如果 root 或 Administrator 曾經被入侵過
貌似重灌是最保險，最乾淨的
因為無法知道有沒有被值入木馬，或系統檔案有無被竄改過

假設已經被值入木馬，且一開機就常駐於記憶體中
那麼 Admin 密碼在怎麼改也是沒用
一更改，木馬就偷傳新的密碼出去了

Linux 系統是有軟體可以檢查系統檔案有無被竄改過
Windows 系統就不曉得了
不過木馬比較難抓，要靠防火牆紀錄不明程式的連線

----------------------------------------------------
usr 可以自己灌 OS，想必他一定是用：
1. 光碟開機
2. USB 開機
3. 磁片開機
4. scsi 開機
其中一種

因為如果從硬碟開機，一開機就被控管了，怎麼灌

除非他換硬碟，換成那種經過 sysprep 封裝的
一開機可以馬上執行 mini 重新安裝

防止的方法，就是 BIOS 設密碼
禁止從 系統碟 以外的裝置開機

但是 BIOS 設密碼，機殼打開，主機板 jumper 短路一下，就破解了...
假設主機板沒這個 jumper，拔電池
假設電池不能拔，換硬碟，開其它作業系統
執行把 BIOS 密碼清除的程式，或乾脆重新燒錄 BIOS

所以終究還是要鎖機殼才行
並且要定時更換主機板電池，以免沒電，自然破解

像 IBM 之類的大廠品牌電腦，機殼都是可以上鎖頭的
但是鎖頭，遇到會開鎖的，也是能開.....
不過這個就已經超越資安領域了，是保全方面的，不予置評

------------------------------------------------------

其實真要防到來，簡直門口都要設金屬探測器了
在 BS7799 中
就有規定必須有查驗員工不能攜帶 USB 隨身碟的機制

那要怎麼查，上班得過金屬探測器？
還是包包得過 X 光檢查機？
然後進來的訪客都要搜身？

對於那些老是愛妄想，員工無法帶資料出去的老闆
真想奉勸有幾分錢，做幾分事吧
導入 BS7799 可是要上百萬經費的
要嘛全防，滴水不露，搞得像監獄
要嘛就不要防，讓員工好做事，效率高一點
半吊子的資安防護，只是在白作工，浪費時間，徒增困擾而已