Bezpečnost Windows pro pokročilé: účty počítačů Ing. Ondřej Ševeček | GOPAS a.s. | MCM:Directory | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator ondrej@sevecek.com | www.sevecek.com | GOPAS: info@gopas,cz | www.gopas.cz | www.facebook.com/P.S.GOPAS Účty počítačů uložené v LDAP databázi služby Active Directory jsou založeny na stejném typu, jako jsou běžné uživatelské účty. I počítačové účty mají login, mají také heslo, které si počítače samy pravidelně (každých 30 dnů) mění, mohou být členem doménových skupin. Modul ukazuje, že heslo počítače k jeho doménovému účtu je uloženo v registrech daného stroje v plné formě. Upřesňuje také některé rozdíly účtů počítačů od účtů obyčejných uživatelů, jako jsou například zásady hesel, které se zde neuplatňují. Zmiňuje se také rozdíl mezi SIDem lokální SAM databáze počítače a SIDem doménového účtu počítače, který se používá při přístupu do sítě.
Advanced Windows Security Computer accounts Advanced Windows Security
Computer Account Just a special user account DOMAIN\COMPUTER$ Password stored in registry HKLM\SECURITY\Policy\Secrets\$MACHINE.ACC changed regularly every 30 days (is online)
Computer Account Password Changes
Password Policy Exceptions Computer, Managed Service Accounts, Trusts no password policies never expire never lock out Built-in Administrator account (the -500 SID) when disabled, can log on in Safe Mode can log on with more than 1025 SIDs in Access Token (gets trimmed)
GOPAS: info@gopas,cz | www.gopas.cz | www.facebook.com/P.S.GOPAS Děkuji za pozornost Ing. Ondřej Ševeček | GOPAS a.s. | MCM:Directory | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator ondrej@sevecek.com | www.sevecek.com | GOPAS: info@gopas,cz | www.gopas.cz | www.facebook.com/P.S.GOPAS