» Вопрос: Безопасность домена

Добрый день.

Имеется домен под Windows 2003 Server, 2 контроллера, около 250 компьютеров в домене. Начальство жутко боится, что кто-то из пользователей может украсть пароль доменного администратора, по мнению руководства это раз плюнуть - пароль администратора сохраняется в кэше, оттуда его может взять просто КТО УГОДНО. Соответственно, пароль локального администратора тоже кто угодно может взять, ужас, апокалипсис.
В связи с этим руководство предлагает следующий способ решения проблемы: каждый день менять пароль администратора домена, рассылая его автоматически по почте всем администраторам. Под локальным админом не ходить, пароль доменного менять, а на крайняк завести учетку еще одного доменного администратора, под которой тоже не ходить, но пользоваться в случае утери пароля первого админа.
Я всеми 4 конечностями против, поскольку мне вовсе не улыбается менять каждый день пароль и потом мучаться его копировать-вставлять, ибо пользоваться правами админа приходится в день не по разу.
И у меня назрел вопрос: так ли страшно, что у нас уже 3 года один пароль для админа?? Есть ли смысл в таком жутком перестраховывании?? И как грамотно объяснить, почему предложение руководства нам не подходит?
В общем, что делать?)

Думаю стоит аргументировать тем, что пароли никогда не хранятся в открытом виде. Хранятся их хэши. Операция хэширования считается необратимой. Википедия подробно ответит почему.

Roldo
вы доменным админом логинетесь на пользовательские компы? Тогда они могут легко получить его обычным кейлоггером. Даже если менять его каждый день, у взломщика будет целый день полного доступа.

>Операция хэширования считается необратимой
реверс хэша пароля длиной меньше 14 символов занимает вполне приемлемое время, если там алфавиты не смешаны.

Refugee

Хорошо, а что тогда делать, чтобы обезопаситься?

Вы скажите своему начальству, чтоб ОНО не занималось херней! Рассылая админские пароли - это и есть самый верный путь его утечки!!!! На 250 компов достачно одного админа домена. Советую завести одну учетную запись админа домена и чтоб пароль знал только один человек + пароль в конверте, который лежит в сейфе, на случай ядерной войны.

Roldo
Если предполагаете, что пользователи не будут пытаться красть пароли - оставляете как есть.

Если считаете, что будут:

Если получение пользователем прав админа домена (или админа на других компах) считается недопустимым, то никогда не набираете на их компах пароль доменного админа; пользуетесь или локальными админами, или спец. доменными пользователями, включенными в лок. админы только на одном компе; пароли лок. админов должны быть разными для разных компов, и для них не должно храниться LM хэша.

Если получение пользователем прав локального админа тоже считается недопустимым - то придется переходить на thin clients/VDI, т.к. комп, к которому у пользователя есть физический доступ, следует считать незащищенным.

Цитата:

пароль администратора сохраняется в кэше, оттуда его может взять просто КТО УГОДНО

Не кто угодно а как минимум администратор локальный, чтоб ентого избежать нужно скриптом принудительно через GPO понизить права, только тех кого нужно не зацепить, а потом уже никто не будет иметь возможности взломать пароль, после этого применить политики паролей нужной сложности, через которую пасс будет меняться например каждую неделю.

Как-то так.