Новости из Блогов Ошибки сисадмина. Ошибка пятая.

Ошибки сисадмина. Ошибка пятая.


Очередная ошибка сисадмина проста по своей сути и основана на самом страшном заблуждении – вере в свой пароль.

- Серость Это же основа безопасной работы. – скажет кто то и будет не прав.

Предположим, у вас сложный пароль, вы наверняка уверены в том что вам ничего не угрожает и вы смело используете излишние привилегии, например ходите на рабочие станции под учетной записью включенной в группу Domain Administrators и пр.

Предлагаю подискутировать о двух заблуждениях с которыми я сталкиваюсь довольно часто.

Заблуждение первое

Странно, но с завидной регулярностью все забывают про подводный камень именуемый CachedLogonsCount. Этот параметр отвечает за количество кэшированных записей в реестре. Кэшированные записи контролируются ключом реестра

Code:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon

в указанной ветке присутствует строковый параметр CachedLogonsCount, который содержит информацию о необходимом для сохранения количестве кэшируемых записей. Значения этого ключа могут быть от 0 до 50, в случае если значения CachedLogonsCount равно 0 то кэширование запрещено. По умолчанию CachedLogonsCount имеет значение 10, а начиная с Windows 2008 оно увеличено и равно 25.

Кэшированные учетные записи хранятся в реестре в зашифрованном виде, в ветке

Code:

HKEY_LOCAL_MACHINE\SECURITY\Cache

содержится два типа значений – первое с именем NL$Control, структура которого содержит версию кэшированных записей и количество записей в вышеуказанной ветке и второе с именами в формате NL$х, где х – номер кэшированной записи. Каждая запись содержит информацию о пользователе (имя, профиль, домашний каталог и т.д.), домене (имя, SID, время последнего доступа и т.д.) и хэшированный пароль пользователя.

Вывод?

Кэширование работает по умолчанию, по умолчанию сохраняются данные 10 пользователей, естественно получить их данные не так сложно как бы нам этого хотелось.

Что делать?

Разделить компьютеры на логические группы:

Мобильные пользователи.
Пользователи стационарных компьютеров.
…

Для первый необходимо установить значение CachedLogonsCount равным 1, это ограничит количество кэшированных учетных записей до одной и позволит входить в систему последнему пользователю.

Для второй группы необходимо вычислить среднее число пользователей которые работают с этим ПК и выставить CachedLogonsCount в полученное значение. Это позволит заходить в систему только определенному количеству пользователей и снизит вероятность получения хэша пользователя наделенного какими то привилегиями.

Примечание: Отключение кэширования допустимо, например для стационарных ПК, но я бы подумал прежде чем идти на этот шаг…


Заблуждение второе

CachedLogonsCount очень часто путают с параметром групповой политики «Interactive Logon: Number of Previous Logons to Cache» (Интерактивный вход в систему: количество предыдущих подключений к кэшу) отвечающему за количество возможных входов в систему в случае отсутствия доступа к контроллеру домена.

По умолчанию значение равняется 10, но для вышеназванных групп его необходимо изменить. Например, для мобильных пользователей, которые месяцами «шарахаются» вне корпоративной сети желательно поставить 50, для стационаров вполне достаточно будет 1.

Вывод?

Никакого Мое горячее убеждение в том что данный параметр нельзя оставлять без внимания хотя бы потому что доступен следующий сценарий – учетная запись пользователя заблокирована, он выдергивает сетевой кабель и входит в систему.

Конечно этот сценарий скорее из разряда «ерунда которой не стоит придавать значения», но тем не менее это его не отменяет.


Мораль

Мораль моего повествования простая – всегда надо помнить про то что использование привилегий допустимо только в случае необходимости и для повседневной работы нужно использовать только стандартные учетные записи.

PS паранойю у сисадминов нельзя контролировать, ее можно только направлять в нужное русло.

Запись от 24.03.2012 Сергей Мариничев
http://blog.wadmin.ru/2012/03/sysadmin-errors-5/
http://blog.wadmin.ru/ - Записки сисадмина.


Предыдущие записи по теме:
Ошибки сисадмина. Ошибка первая.: http://blog.wadmin.ru/2012/02/sysadmin-error-1/
Ошибки сисадмина. Ошибка вторая.: http://blog.wadmin.ru/2012/02/sysadmin-error-2/
Ошибки сисадмина. Ошибка третья.: http://blog.wadmin.ru/2012/02/sysadmin-errors-3/
Ошибки сисадмина. Ошибка четвертая.: http://blog.wadmin.ru/2012/02/sysadmin-errors-4/