deamware remote control

leraren hoeven geen adminrechten te hebben op een server. En zolang je geen admin rechten hebt kun je een server niet overnemen volgens mij...

ik zou maar eens wat aan het beveiligings beleid doen dan daar.. Een moeilijk wachtwoord zullen ze echt niet zomaar cracken of whatever..

Ik zou eerst eens kijken naar de netwerkopstelling en dan het probleem bij de bron aanpakken en niet bij het gevolg, want dan zitten ze volgende week weer met een ander proggie te k*tten

EDIT:zie ook de post hierboven, k was net te laat

[ Voor 16% gewijzigd door Otacon op 20-04-2005 17:43 ]

Verwijderd schreef op woensdag 20 april 2005 @ 17:29:
Dat is het nadeel, ze komen altijd achter het paswoord van de netwerkbeheerder.
Vraag me niet hoe ze het doen...
Aangezien ze een eigen windows2003 server moeten opstellen kan ik ze niet
onthouden van programma's te installeren. dus dat is ook geen optie

Dan zou ik de server maar eens goed scannen met bv MSBA etc. Eventueel een vrij lang wachtwoord op het administrator account zetten, het administrator account hernoemen.
Andere opties zijn om een firewall te plaatsen die geen remote proggies toestaat. Maar zorg er voor dat je Active Directory veilig is met geen overkill aan rechten etc, bv leraren hoeven alleen maar users te zijn etc.

indd wat hierboven staat, het admin account van naam veranderen, maar ook de description dus weghalen of veranderen.. Geef mensen niet meer rechten dan nodig, in de AD kan je dit met delegation of control doen. Met syskey kan je ook nog wat aan de encryptie van de sam database doen maar is niet heel handig i guess..

Verwijderd schreef op woensdag 20 april 2005 @ 17:23:
hey iedereen

Ik heb een vraagje:

Op school zijn er leerlingen die zich bezighouden met de paswoorden van de leraars te cracken,
hierna maken ze gebruik van deamware om zo de server over te nemen.
Is het mogelijk dat de ik ervoor kan zorgen dat ze de remote control sessie niet meer kunnen
installeren?

Server is een windows 2000 versie.

Ik mag aannamen dat je DameWare miniremotecontrol bedoelt. Je hebt local admin rechten nodig om uberhaupt het pakket te installeren dus hebben de leerlingen al veel te veel rechten op hun lokale werkplek. Ten tweede als leraren in een administrative group zitten moet je eens goed kijken wat men eigenlijk nodig heeft aan rechten want in principe heeft een niet beheerder niets te zoeken op server(s) behalve het wegschrijven van gegevens en gebruik maken van gepublishte printers.

Helaas kent Windows 2000 server nog geen software restriction policy anders had je die kunnen toepassen. Wat je wel kunt doen is een software policy maken met toegestane programma's zodat men dameware niet zo eenvoudig meer kunnen starten. Je hoofd probleem is echter dat je A: de leerlingen veel te veel rechten hebt gegeven B: de leraren uit de administrator groepen moet verwijderen.

FastBunny schreef op woensdag 20 april 2005 @ 17:42:
[...]

Dan zou ik de server maar eens goed scannen met bv MSBA etc.

en wat zou dat aan het licht moeten brengen (op secu patches na dan)?

Eventueel een vrij lang wachtwoord op het administrator account zetten, het administrator account hernoemen.

om exact te zijn minimaal 15 chars, zodat ntlm niet meer mogelijk is... moet je wel inloggen vanaf een win2k client (of hoger). admin renamen is onzin, de sid is bekend...

Andere opties zijn om een firewall te plaatsen die geen remote proggies toestaat. Maar zorg er voor dat je Active Directory veilig is met geen overkill aan rechten etc, bv leraren hoeven alleen maar users te zijn etc.

tja de benodigde poorten dichtgooien gaat niet echt. je zal toch port 445 en een zooi andere open moeten laten anders werkt je domain niet...

Verwijderd schreef op donderdag 21 april 2005 @ 10:53:
[...]
en wat zou dat aan het licht moeten brengen (op secu patches na dan)?

Diverse configuratiefouten en adviezen. Bijvoorbeeld wanneer er heel veel (meer dan 2) gebruikers administrator zijn, als wachtwoorden zwak zijn of niet ingeschaled, etc. Zo te zien kan de TS iedere aanwijzing wel gebruiken want de veiligheid laat te wensen over.

admin renamen is onzin, de sid is bekend...

Admin renamen is erg handig tegen scriptkiddies en rootkits. Probeer maar eens het wachtwoord van de administratoraccount te raden als die niet bestaat, of het account met die naam disabled is.

Bij ons bedrijf gebruiken we ook DameWare. Alleen gebruikers die in een bepaalde groep zijn opgenomen mogen en kunnen op die manier verbinding maken met een andere pc. (uiterraard zijn dat admin gebruikers). Ik weet niet hoe ze dat hebben ingericht, maar als je niet in de groep in de AD voor komt, mag je dus gewoon niet de pc overnemen. Misschien heb je daar wat aan...

Dit is een structureel beveiligingsprobleem en los je niet op met dit soort maatregelen.

Bovendien heeft dit niets te maken met PNS en zie ik van jouw kant weinig initiatief of vooronderzoek hierin.