---

Har netop opsat min Windows XP efter de givne retningslinier i kapitlet
"Opsætning af Windows 2000 som sikker arbejdsstation" fra OSS'en
(http://a.area51.dk/sikkerhed/w2k_workstation). Dog synes jeg ikke, at
Account Lockout virker efter hensigten. Jeg har opsat det som foreslået,
med henholdsvis 30 minutter for "Account lockout duration" og "Reset
account lockout after" samt "5 invalid logon attemps" i "Account lockout
threshold".

Herefter har jeg forsøgt at logge ind med forkert kodeord på min
Administrator-konto (som er omdøbt). Først efter 6. gang jeg forsøger
bliver systemet "låst". Men kun i 15-20 sekunder, hvorfor det igen
bliver muligt at logge ind. Jeg kiggede tilbage i gruppen med Google,
og læste noget om, at Administrator-kontoen vist ikke undergår denne
kontospærring på Windows NT. Gælder dette også i 2000/XP
eller er der noget jeg har ikke har fået indstillet korrekt?

--
M

---

M wrote:

> Herefter har jeg forsøgt at logge ind med forkert kodeord på min
> Administrator-konto (som er omdøbt). Først efter 6. gang jeg forsøger
> bliver systemet "låst". Men kun i 15-20 sekunder, hvorfor det igen
> bliver muligt at logge ind. Jeg kiggede tilbage i gruppen med Google,
> og læste noget om, at Administrator-kontoen vist ikke undergår denne
> kontospærring på Windows NT. Gælder dette også i 2000/XP
> eller er der noget jeg har ikke har fået indstillet korrekt?

Så vidt jeg husker, har W2K (og sikkert også XP) arvet den feature fra
NT. Det er en af grundene til at det er vigtigt at omdøbe
Administrator-kontoen. Jeg tror ikke det er noget i vejen med din
opsætning.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

---

"Niels Callesøe" <pfy@nntp.dk> wrote:

> Så vidt jeg husker, har W2K (og sikkert også XP) arvet den feature fra
> NT. Det er en af grundene til at det er vigtigt at omdøbe
> Administrator-kontoen. Jeg tror ikke det er noget i vejen med din
> opsætning.

Okay. Jeg synes det virker helt forkert, at det ikke gælder for
Administrator-kontoen. En af grundende er vel netop forebyggelse af et
brute force attack på alle konti, og hvorfor så gøre det nemt at knække
Administrator-kontoen og sværere for de andre? Hvis man kommer ind
som Administrator, har du jo alligevel adgang til hele computeren.

--
M

---

M <none@127.0.0.1> wrote:
> Okay. Jeg synes det virker helt forkert, at det ikke gælder for
> Administrator-kontoen. En af grundende er vel netop forebyggelse af et
> brute force attack på alle konti, og hvorfor så gøre det nemt at knække
> Administrator-kontoen og sværere for de andre? Hvis man kommer ind
> som Administrator, har du jo alligevel adgang til hele computeren.

Det aabner jo muligheder som at lukke administratoren ude af systemet.

I stedet for at spilde energi paa at lave lockout policies, omdoebe
kontoer burde man overveje om det ikke ville vaere bedre at benytte en
form for authentication der *ikke* kan bruteforces af de fleste paa
mindre end et par aar.

Loes problemet og kom videre. Statiske passwords hoerer fortiden til.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

M wrote:

> Okay. Jeg synes det virker helt forkert, at det ikke gælder for
> Administrator-kontoen. En af grundende er vel netop forebyggelse
> af et brute force attack på alle konti, og hvorfor så gøre det
> nemt at knække Administrator-kontoen og sværere for de andre? Hvis
> man kommer ind som Administrator, har du jo alligevel adgang til
> hele computeren.

Jeg ved ikke hvorfor man har valgt den løsning, men jeg kan komme med
at par gæt.

Som Alex også nævner, så kan man løbe ind i problemer med at blive låst
fuldstændigt ude at sig eget system, hvilket ikke er så praktisk.
Derudover gælder det som regel, at administratoren af et system er mere
klar over risikoen ved et svagt password end brugerne og det kan derfor
være en fordel at have længere lockout-tider for brugere, således at
den tid det tager at gætte selv et meget svagt password forlænges
betydeligt.

Har man et stærkt password på en konto, og skifter man dette
regelmæssigt (60 dage, for eksempel), er den forkortede lockout tid
"sikker nok" set i forhold til det antal forsøg der vil være krævet for
at have en reel chance for at gætte det pågældende password. Og hvis
man, som anbefalet, aldrig bruger administrator-kontoen til at logge på
maskinen, så vil eventuelle login-forsøg fremstå tydeligt i eventloggen
således at man kan gribe ind overfor brute-force angreb der strækker
sig over lang tid.

Som en sidste faktor, er det normalt også lettere for en angriber at få
fat i login-navnet på en almindelig bruger end det er for ham at få fat
i login-navnet for Administrator-kontoen, hvis den er omdøbt.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

---

Niels Callesøe skrev:

> Det er en af grundene til at det er vigtigt at omdøbe Administrator-
> kontoen.

Administrator-kontoen kan findes af en anonym bruger, med sid2user, med min-
dre RestrictAnonymous=2. De indbyggede brugerkontoer har jo en foruddefine-
ret og velkendt RID (Relative IDentifier) [1], gængse scriptkiddie program-
mer kan sikkert finde brugerkontoen.

[1] Side 77 i Hacking W2K Exposed af Joel Scambray og Stuart McClure.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Peder Vendelbo Mikkelsen wrote:

>> Det er en af grundene til at det er vigtigt at omdøbe
>> Administrator- kontoen.
>
> Administrator-kontoen kan findes af en anonym bruger, med
> sid2user, med min- dre RestrictAnonymous=2. De indbyggede
> brugerkontoer har jo en foruddefine- ret og velkendt RID (Relative
> IDentifier) [1], gængse scriptkiddie program- mer kan sikkert
> finde brugerkontoen.

Pointen er vel stadig lige god, når RestrictAnonymous=2 ?

Det er godt nok ikke nævnt specifikt i W2K case study'en, hvilket måske
nok er en mangel.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk