Toon posts:

Password generator Winlock

Pagina: 1
Acties:

dinsdag 30 november 2021 13:57

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
Hallo allemaal,

Ik zoek een programma zoals bijvoorbeeld Winlock om bepaalde sofware op een pc te blokkeren.
Om de blokkade op te heven of aan te passen moet er een wachtwoord worden gegenereerd.
Dit wachtwoord moet dagelijks veranderen aan de hand van een bepaalde formule bijvoorbeeld: wachtwoord is test+(huidige datum x10).

Nou kan ik geen enkel programma vinden wat dit ingebouwd heeft. Er zijn wel enkele losse wachtwoord generators the vinden maar die kunnen alleen maar worden gekoppeld aan websites en niet aan lokale programma's


Is er iemand van jullie die hier ervaring mee heeft en mij uit de brand kan helpen?

[ Voor 7% gewijzigd door Why So Serious. op 30-11-2021 14:54 ]

woensdag 1 december 2021 16:02

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Why So Serious. schreef op dinsdag 30 november 2021 @ 13:57:
Dit wachtwoord moet dagelijks veranderen aan de hand van een bepaalde formule bijvoorbeeld: wachtwoord is test+(huidige datum x10).
En moet het programma dan ook dagelijks om 0:00 worden afgesloten zodat je het nieuwe wachtwoord moet gebruiken?
Anders zet men de PC gewoon in hibernate (of aan laten staan) om 365+ dagen het programma te kunnen gebruiken.

Als je bepaalde programma's voor je kinderen wilt blokkeren, kan je maar beter een nieuw wachtwoord nemen zodat niemand in je account kan komen.

[ Voor 13% gewijzigd door DJMaze op 01-12-2021 16:03 ]

Maak je niet druk, dat doet de compressor maar

donderdag 2 december 2021 12:19

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
DJMaze schreef op woensdag 1 december 2021 @ 16:02:
[...]

En moet het programma dan ook dagelijks om 0:00 worden afgesloten zodat je het nieuwe wachtwoord moet gebruiken?
Anders zet men de PC gewoon in hibernate (of aan laten staan) om 365+ dagen het programma te kunnen gebruiken.

Als je bepaalde programma's voor je kinderen wilt blokkeren, kan je maar beter een nieuw wachtwoord nemen zodat niemand in je account kan komen.
Nee is bedoeld om software op machines te beperken zodat er door de eindgebruiker niks gesloopt kan worden.


Eindgebruiker krijgt wachtwoord niet te zien dus afsluiten is geen vereiste. Systeem wordt nadien wel weer gelocked door medewerker van onze kant.


Dagelijks veranderen is meer zodat er niet voor elk systeem een wachtwoord hoeft worden bijgehouden maar dat deze gewoon ter plekke door een medewerker van onze kant kan worden uitgerekend aan de hand van een aantal parameters.


Is een onderzoek opdracht voor bijbaan/ stage dus is de vraag of dit überhaupt haalbaar is

donderdag 2 december 2021 12:41

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Applicatie: je kunt standaardtools als SRP / Applocker gebruiken, ik weet niet of er tijdgebaseerde regels mogelijk zijn maar zo niet: via een gescheduled script (met adminrechten..) kan je de policies aan/uitzetten.

Of dus dat Winlock kopen, ik ken het niet maar zo te zien kan die wat je vraagt.

Wachtwoord wijzigen: waarom? Als er goede redenen zijn: waarom dan met voorspelbare patronen? Ik zie daar nul voordeel en wel nadelen. Overweeg dan eerder iets als MFA waar je de tweede factor achter slot legt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 2 december 2021 12:57

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Als men al een MS omgeving heeft kun je inderdaad beter naar F_J_K zijn oplossing kijken. Het wachtwoord principe snap ik alleen niet helemaal. Wellicht dat je na gebruik van de klant dan als medewerker in je AD even het wachtwoord aanpast?

Anders Googlen op kiosk-mode OS/software setup (b.v. Workspace Control from Ivanti, Reborn Card).

Een duurdere oplossing wellicht is zoals Citrix een published applicatie te pushen naar de eindgebruiker. Daarvan kan de gebruikers niks aanpassen.

In wat voor omgeving ga je het inzetten? Op een school/openbare plaats wil bijvoorbeeld een slimme leerling er nog wel eens omheen werken dmv USB sticks/LOLBAS tricks.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 2 december 2021 15:37

Acties:
  • +1 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Why So Serious. schreef op donderdag 2 december 2021 @ 12:19:
[...]Eindgebruiker krijgt wachtwoord niet te zien dus afsluiten is geen vereiste. Systeem wordt nadien wel weer gelocked door medewerker van onze kant...
Begrijp ik het goed? Jullie zijn bedrijf A. Jullie hebben specifieke software draaien op een PC bij bedrijf B en je wilt niet dat die software toegankelijk is zonder dat er iemand van bedrijf A lijfelijk bij aanwezig is?

Als de PC in kwestie onderdeel is van de security infrastructuur van bedrijf B, dan kun je dat niet waterdicht afsluiten. Restricties op die PC kunnen altijd overruled worden door de ICT afdeling van bedrijf B. Als je dat wil voorkomen moet je er je eigen hardware neerzetten, die niet in de security infra van bedrijf B is opgenomen.

Als je op zich de ICT afdeling van bedrijf B wel vertrouwt maar de eindgebruikers van bedrijf B niet, dan kun je het beste in overleg gaan met die ICT afdeling. Betekent wel dat je voor iedere klant een passende oplossing moet tayloren.

Bottom line is: zo'n password protect is niet veel effectiever dan een bordje "verboden toegang". Het werkt voor degene die zich iets van het bordje aantrekt; het werkt niet voor degene die dat niet doet. En op sommige mensen heeft het juist een aantrekkende invloed; wil je ook niet

QnJhaGlld2FoaWV3YQ==

vrijdag 3 december 2021 00:16

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Keylogger to the rescue?

Maak je niet druk, dat doet de compressor maar

vrijdag 3 december 2021 09:31

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
F_J_K schreef op donderdag 2 december 2021 @ 12:41:

Wachtwoord wijzigen: waarom? Als er goede redenen zijn: waarom dan met voorspelbare patronen? Ik zie daar nul voordeel en wel nadelen. Overweeg dan eerder iets als MFA waar je de tweede factor achter slot legt.
Omdat de monteurs van onze kant dan geen lijst van wachtwoorden hoeven bij te houden. Op onze it afdeling hebben wij een tool ontwikkeld die het wachtwoord uitrekent aan de hand van bepaalde variabelen.

vrijdag 3 december 2021 09:37

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
Brahiewahiewa schreef op donderdag 2 december 2021 @ 15:37:
[...]

Begrijp ik het goed? Jullie zijn bedrijf A. Jullie hebben specifieke software draaien op een PC bij bedrijf B en je wilt niet dat die software toegankelijk is zonder dat er iemand van bedrijf A lijfelijk bij aanwezig is?

Als de PC in kwestie onderdeel is van de security infrastructuur van bedrijf B, dan kun je dat niet waterdicht afsluiten. Restricties op die PC kunnen altijd overruled worden door de ICT afdeling van bedrijf B. Als je dat wil voorkomen moet je er je eigen hardware neerzetten, die niet in de security infra van bedrijf B is opgenomen.

Als je op zich de ICT afdeling van bedrijf B wel vertrouwt maar de eindgebruikers van bedrijf B niet, dan kun je het beste in overleg gaan met die ICT afdeling. Betekent wel dat je voor iedere klant een passende oplossing moet tayloren.

Bottom line is: zo'n password protect is niet veel effectiever dan een bordje "verboden toegang". Het werkt voor degene die zich iets van het bordje aantrekt; het werkt niet voor degene die dat niet doet. En op sommige mensen heeft het juist een aantrekkende invloed; wil je ook niet
It afdeling van bedrijf B is inderdaad het probleem niet. Gaat erom dat het systeem een basis beveiliging heeft zodat er niet makkelijk dingen kunnen worden aangepast of dat ze de pc gaan gebruiken voor social media of wat dan ook.

De eindgebruiker is iemand van de werkplaats die waarschijnlijk weinig IT kennis heeft. Wij als bedrijf A hebben dan in ieder geval onze taak gedaan. Als bedrijf B onze beveiligingen omzeilt is het niet onze verantwoordelijkheid.

vrijdag 3 december 2021 09:39

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Je usecase komt er stukje bij beetje uit. Zet die eens duidelijk neer want wellicht zijn er betere zaken te bedenken dan je huidige werkwijze.

Waarom? : Dat tooltje klinkt leuk op papier maar je creeert zo zwakke wachtwoorden. Wat gebeurd er als iemand het wachtwoord kraakt en er daardoor malware in de klant zijn netwerk komt? De klant is de sjaak en jullie kunnen wellicht een schadeclaim of rechtzaak verwachten.

edit: je had je post aangevuld.
Aangezien je over monteur spreekt: lever je software of ook hardware?
Leveren jullie de hele pc of alleen de applicatie?
Zit de pc in het klanten domein/AD of hebben jullie een domein/AD?

[ Voor 21% gewijzigd door sh4d0wman op 03-12-2021 09:43 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 3 december 2021 09:42

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op donderdag 2 december 2021 @ 12:57:
Als men al een MS omgeving heeft kun je inderdaad beter naar F_J_K zijn oplossing kijken. Het wachtwoord principe snap ik alleen niet helemaal. Wellicht dat je na gebruik van de klant dan als medewerker in je AD even het wachtwoord aanpast?

Anders Googlen op kiosk-mode OS/software setup (b.v. Workspace Control from Ivanti, Reborn Card).

Een duurdere oplossing wellicht is zoals Citrix een published applicatie te pushen naar de eindgebruiker. Daarvan kan de gebruikers niks aanpassen.

In wat voor omgeving ga je het inzetten? Op een school/openbare plaats wil bijvoorbeeld een slimme leerling er nog wel eens omheen werken dmv USB sticks/LOLBAS tricks.
Werkplaats machines. Wachtwoord principe is zodat alle monteurs het wachtwoord ten alle tijde kunnen berekenen. Als monteur A het wachtwoord van Tweakers naar Tweakers.net veranderd weet monteur B dit niet. Tenzij je een lijst met wachtwoorden bijhoud. Maar mij is aangegeven dat onze klanten hier geen fan van zijn.

vrijdag 3 december 2021 09:50

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op vrijdag 3 december 2021 @ 09:39:
Je usecase komt er stukje bij beetje uit. Zet die eens duidelijk neer want wellicht zijn er betere zaken te bedenken dan je huidige werkwijze.

Waarom? : Dat tooltje klinkt leuk op papier maar je creeert zo zwakke wachtwoorden. Wat gebeurd er als iemand het wachtwoord kraakt en er daardoor malware in de klant zijn netwerk komt? De klant is de sjaak en jullie kunnen wellicht een schadeclaim of rechtzaak verwachten.

Pc kan in principe niet op internet. Als iemand het wachtwoord kraakt moet hij dus fysiek het wachtwoord in het systeem vullen. Het gaat er puur om dat de eindgebruiker zo weinig domme dingen kan doen maar in geval van storing of wat dan ook wij er wel weer makkelijk inkomt.
Op de desbetreffende pc staan verder ook geen hele spannende dingen. Is dus puur beveiliging tegen de eindgebruiker.

edit: je had je post aangevuld.
Aangezien je over monteur spreekt: lever je software of ook hardware?
Leveren jullie de hele pc of alleen de applicatie?
Zit de pc in het klanten domein/AD of hebben jullie een domein/AD?
Wij leveren machines met een (soort) pc met daarop de benodigde software om de machine te kunnen laten draaien.

vrijdag 3 december 2021 09:53

Acties:
  • +1 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Ok dus een soort HMI software waarschijnlijk. Is het niet mogelijk om dat in kiosk mode te draaien? Dan kan de user niks slopen. Daarnaast een monteur/beheer account met MFA. Dan maakt een static wachtwoord niet uit zolang de MFA niet bekend is.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 3 december 2021 10:03

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 00:58

jeroen3

Maak het wachtwoord gewoon "alleen monteurs". Wachtwoord formules is gewoon een ingewikkelde omweg wat ook eenvoudig te omzeilen is, en dan is het gewoon verspilde moeite...
Ik bedoel, je kunt nog zo'n goeie formule verzinnen, het lekt uiteindelijk toch wel.

vrijdag 3 december 2021 10:32

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op vrijdag 3 december 2021 @ 09:53:
Is het niet mogelijk om dat in kiosk mode te draaien? Dan kan de user niks slopen. Daarnaast een monteur/beheer account met MFA. Dan maakt een static wachtwoord niet uit zolang de MFA niet bekend is.
Geen ervaring mee moet ik naar kijken. Bedankt voor het voorstel

vrijdag 3 december 2021 10:45

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
jeroen3 schreef op vrijdag 3 december 2021 @ 10:03:
Maak het wachtwoord gewoon "alleen monteurs". Wachtwoord formules is gewoon een ingewikkelde omweg wat ook eenvoudig te omzeilen is, en dan is het gewoon verspilde moeite...
Ik bedoel, je kunt nog zo'n goeie formule verzinnen, het lekt uiteindelijk toch wel.
Als bij de formule 1 los wachtwoord lekt is maar 1 systeem gekraakt. Als eindwachtwoord hfjsjw#-_(3 is gelekt dan weten ze alsnog niet door welke formule en parameters dit tot stand is gekomen.


Wachtwoord generator app bestaat al binnen ons systeem. Alleen een applicatie die dat aan de andere kant ondersteund ontbreekt nog.


Tuurlijk kan alles lekken maar ik vind dat persoonlijk een beetje alsof je goedkope sloten neemt op je huis omdat ze met dure sloten nog steeds binnen kunnen komen als ze echt willen.

Maar goed als deze oplossing gewoon niet te realiseren valt dan zijn we ook snel uitgepraat.
Mijn taak was om uit te zoeken of dit haalbaar was. Is het redelijkerwijs niet mogelijk dan is dat ook een prima conclusie.

vrijdag 3 december 2021 10:46

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
Overigens bedankt voor alle antwoorden tot nu toe👍

vrijdag 3 december 2021 10:58

Acties:
  • +1 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Why So Serious. schreef op vrijdag 3 december 2021 @ 10:32:
[...]


Geen ervaring mee moet ik naar kijken. Bedankt voor het voorstel
Hier een filmpje van kiosk mode. Wellicht iets om eens mee te testen:


MFA even kijken wat jullie wellicht al in huis hebben.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 3 december 2021 11:22

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 00:58

jeroen3

Why So Serious. schreef op vrijdag 3 december 2021 @ 10:45:
[...]
Tuurlijk kan alles lekken maar ik vind dat persoonlijk een beetje alsof je goedkope sloten neemt op je huis omdat ze met dure sloten nog steeds binnen kunnen komen als ze echt willen.
Het gaat erom dat er een slot is.
De meeste LOTO sloten zijn van plastic, maar het is wel een slot. Je moet fysiek moeite doen om het te omzeilen. Dan dat is de grootste indicatie die je kan hebben dat je verkeerd bezig bent.
Daar doelde ik op.

Iets wat je zoek kun je waarschijnlijk wel zelf toevoegen aan je applicatie.

vrijdag 3 december 2021 13:03

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
jeroen3 schreef op vrijdag 3 december 2021 @ 11:22:
[...]

Iets wat je zoek kun je waarschijnlijk wel zelf toevoegen aan je applicatie.
Eigen software schrijven inplaats van 3rd party bedoel je?

vrijdag 3 december 2021 15:34

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Why So Serious. schreef op vrijdag 3 december 2021 @ 10:45:
Als bij de formule 1 los wachtwoord lekt is maar 1 systeem gekraakt. Als eindwachtwoord hfjsjw#-_(3 is gelekt dan weten ze alsnog niet door welke formule en parameters dit tot stand is gekomen.
hfjsjw#-_(3 is een makkelijk te kraken wachtwoord. AlleenVoorMonteursVanB^ is een erg moeilijk te kraken wachtwoord.

AlleenVoor21120 voor dec 2021 maal 10 is makkelijker te kraken dan AlleenVoorMonteursVanB^ en het voegt niets toe qua 'lekken' .Als ik AlleenVoorMonteurs2111 afkijk snap ik dondersgoed dat het een maand later 12 wordt.

In alle gevallen met wachtwoorden moet je het overal vervangen want je gebruikt blijkbaar het zelfde schema op alle apparaten.

Ik zie nul toegevoegde waarde en een boel extra problemen. Ga voor simpele MFA. Geef elke monteur de code. En dan nog moet je zonder centraal beheer overal langs als het lekt, soit. Beter is dus centraal beheer - en individuele users/passwords per monteur. Dat moet je sowieso erg willen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 3 december 2021 15:47

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
F_J_K schreef op vrijdag 3 december 2021 @ 15:34:
[...]

hfjsjw#-_(3 is een makkelijk te kraken wachtwoord. AlleenVoorMonteursVanB^ is een erg moeilijk te kraken wachtwoord.

AlleenVoor21120 voor dec 2021 maal 10 is makkelijker te kraken dan AlleenVoorMonteursVanB^ en het voegt niets toe qua 'lekken' .Als ik AlleenVoorMonteurs2111 afkijk snap ik dondersgoed dat het een maand later 12 wordt.

In alle gevallen met wachtwoorden moet je het overal vervangen want je gebruikt blijkbaar het zelfde schema op alle apparaten.

Ik zie nul toegevoegde waarde en een boel extra problemen. Ga voor simpele MFA. Geef elke monteur de code. En dan nog moet je zonder centraal beheer overal langs als het lekt, soit. Beter is dus centraal beheer - en individuele users/passwords per monteur. Dat moet je sowieso erg willen.
hfjsjw#-_(3 was een voorbeeld in praktijk is het
een langer wachtwoord in de vorm van een soort hash waaruit niet makkelijk door een niet technisch persoon een patroon in wordt gevonden. Het is met de bestaande tool die we intern dus hebben niet letterlijk zo dat je er elke dag een getal bij op kan tellen.

vrijdag 3 december 2021 17:44

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Why So Serious. schreef op vrijdag 3 december 2021 @ 15:47:
een langer wachtwoord in de vorm van een soort hash
Wat is er dan mis met een digitale sleutel?

Je hebt drie accounts op die PC:
1. admin
2. monteur
3. gebruiker

#2 gebruikt een USB sleutel (dongel of telefoon met app)
#2 mag applicatie X en Y gebruiken
#2 plaatsen USB = inloggen
#2 verwijderen USB = uitloggen

#3 mag applicatie X gebruiken

https://www.linuxuprising...with-usb-flash-drive.html

[ Voor 13% gewijzigd door DJMaze op 03-12-2021 17:51 ]

Maak je niet druk, dat doet de compressor maar

vrijdag 3 december 2021 18:12

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
DJMaze schreef op vrijdag 3 december 2021 @ 17:44:
[...]

Wat is er dan mis met een digitale sleutel?

Je hebt drie accounts op die PC:
1. admin
2. monteur
3. gebruiker

#2 gebruikt een USB sleutel (dongel of telefoon met app)
#2 mag applicatie X en Y gebruiken
#2 plaatsen USB = inloggen
#2 verwijderen USB = uitloggen

#3 mag applicatie X gebruiken

https://www.linuxuprising...with-usb-flash-drive.html
Pc's draaien Windows. Je hebt dan alsnog het probleem dat je of ontzettend veel USB sleutels moet laten maken en meesjouwen of je moet voor alle systemen dezelfde sleutel gebruiken.

vrijdag 3 december 2021 18:43

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Why So Serious. schreef op vrijdag 3 december 2021 @ 18:12:
Je hebt dan alsnog het probleem dat je of ontzettend veel USB sleutels moet laten maken en meesjouwen of je moet voor alle systemen dezelfde sleutel gebruiken.
Oh, de monteurs hebben geen telefoon met USB kabel van de zaak...

Maak je niet druk, dat doet de compressor maar

vrijdag 3 december 2021 18:47

Acties:
  • +1 Henk 'm!
  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 17-05 15:56

D_Jeff

@Why So Serious. Safenet (Nu: Thales) heeft precies zo'n oplossing.
Goedkoop is het alleen niet

Hold. Step. Move. There will always be a way to keep on moving

vrijdag 3 december 2021 19:04

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
DJMaze schreef op vrijdag 3 december 2021 @ 18:43:
[...]

Oh, de monteurs hebben geen telefoon met USB kabel van de zaak...
Ja in dat geval hebben ze dus 1 telefoon met 1 sleutel die voor alles hetzelfde is. Wat in principe zou kunnen maar dan heb je dus wel een sleutel

vrijdag 3 december 2021 19:08

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
D_Jeff schreef op vrijdag 3 december 2021 @ 18:47:
@Why So Serious. Safenet (Nu: Thales) heeft precies zo'n oplossing.
Goedkoop is het alleen niet
Weet je om welk product van thales het precies gaat? Ben een beetje het overzicht kwijt door de vele producten op hun site.

vrijdag 3 december 2021 19:35

Acties:
  • +1 Henk 'm!
  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 17-05 15:56

D_Jeff

Why So Serious. schreef op vrijdag 3 december 2021 @ 19:08:
[...]


Weet je om welk product van thales het precies gaat? Ben een beetje het overzicht kwijt door de vele producten op hun site.
Helaas ben ik de naam van het product vergeten (ik doe al zo'n 3 jaar niets meer met RSA/Safenet hardware tokens -- een Auth app is goedkoper en handiger in gebruik)

Ik kwam nog wel op dit stukje "legacy":
https://cpl.thalesgroup.com/access-management

Verder ter info:
De oplossing bestaat sinds 2016/2017, maar ik weet wel dat het niet veel verkocht wordt in de Benelux (het is namelijk een zeer specifieke use case, die hier niet zoveel voorkomt)

Hold. Step. Move. There will always be a way to keep on moving

zondag 5 december 2021 14:15

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op vrijdag 3 december 2021 @ 10:58:
[...]

Hier een filmpje van kiosk mode. Wellicht iets om eens mee te testen:
[YouTube: How to Set Up Kiosk Mode on Windows 10]
Had ik geen ervaring mee. Helaas kan je er ook echt maar 1 applicatie mee gebruiken. In sommige gevallen moeten er meerdere applicaties nog kunnen draaien op de pc. Wel handig om te weten dat dit kan voor de eventuele toekomst

zondag 5 december 2021 15:44

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Why So Serious. schreef op zondag 5 december 2021 @ 14:15:
[...]
Had ik geen ervaring mee. Helaas kan je er ook echt maar 1 applicatie mee gebruiken. In sommige gevallen moeten er meerdere applicaties nog kunnen draaien op de pc. Wel handig om te weten dat dit kan voor de eventuele toekomst
Google nog even. Er was ook een handleiding voor meerdere applicaties maar ik heb niet gekeken hoe dat precies werkt en wat voor limitaties daar aan zitten.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zondag 5 december 2021 23:16

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

jeroen3 schreef op vrijdag 3 december 2021 @ 10:03:
Maak het wachtwoord gewoon "alleen monteurs". Wachtwoord formules is gewoon een ingewikkelde omweg wat ook eenvoudig te omzeilen is, en dan is het gewoon verspilde moeite...
Ik bedoel, je kunt nog zo'n goeie formule verzinnen, het lekt uiteindelijk toch wel.
Als je dat doet en pc 1 raakt geinfecteerd, dan is de rest ook geinfecteerd omdat er ingelogd kan worde. Met dezelfde hash (pth)

Zijn de computers domain joined? Dan zou laps nog een idee kunnen zijn

CISSP! Drop your encryption keys!

maandag 6 december 2021 01:42

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

laurens0619 schreef op zondag 5 december 2021 @ 23:16:
[...]Zijn de computers domain joined? Dan zou laps nog een idee kunnen zijn
Dan ga je er van uit dat de medewerker van bedrijfB admin rechten heeft op de PC in kwestie. Dat is sowieso al bad practice. Wat overigens niet wil zeggen dat het niet voorkomt ;o)

Anyway, als het alleen maar gaat om het blokkeren van eindgebruikers, kom je met NTFS rechten ook al een heel eind, natuurlijk. Gewoon een deny geven op de executables voor de account van de eindgebruiker.

Ja, als die eindgebruiker admin privileges heeft, kan hij eenvoudig een take ownership doen en vervolgens het security log wissen. Maar het is de vraag of @Why So Serious. zich daar tegen wil wapenen. Ik krijg de indruk dat het hem meer om signalering cq afschuiven van verantwoordelijkheid gaat

QnJhaGlld2FoaWV3YQ==

maandag 6 december 2021 08:19

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

@Brahiewahiewa nee waarom?
Kan toch apart lokaal admin account zijn?

CISSP! Drop your encryption keys!

dinsdag 7 december 2021 08:55

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
Brahiewahiewa schreef op maandag 6 december 2021 @ 01:42:
[...]

Dan ga je er van uit dat de medewerker van bedrijfB admin rechten heeft op de PC in kwestie. Dat is sowieso al bad practice. Wat overigens niet wil zeggen dat het niet voorkomt ;o)

Anyway, als het alleen maar gaat om het blokkeren van eindgebruikers, kom je met NTFS rechten ook al een heel eind, natuurlijk. Gewoon een deny geven op de executables voor de account van de eindgebruiker.

Ja, als die eindgebruiker admin privileges heeft, kan hij eenvoudig een take ownership doen en vervolgens het security log wissen. Maar het is de vraag of @Why So Serious. zich daar tegen wil wapenen. Ik krijg de indruk dat het hem meer om signalering cq afschuiven van verantwoordelijkheid gaat
Klopt inderdaad gaat gewoon om basic bescherming zodat de eindgebruiker niet zomaar overal bij kan.
Voor de rest is het gewoon hun eigen pc dus mochten ze het toch kraken dan is het niet zo dat onze bedrijfsgegevens bijvoorbeeld op straat liggen.

dinsdag 7 december 2021 09:02

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
En nog even voor de duidelijkeheid het is dus niet zo dat als het wachtwoord van klant tweakers wachtwoordtweakers is dat die van hardwareinfo dan wachtwoordhardwareinfo is.

Bepaalde parameters worden in de door de monteur in de password generator getypt die zal dan doormiddel van een bepaalde formule code genereren die de monteur vervolgens kan invullen in het systeem.


Om het wachtwoord van tweakers te achterhalen als je die van hardwareinfo hebt zul je dus goed moeten kunnen rekenen.

Tuurlijk kan dat ook wel weer gekraakt worden maar intern hebben wij gekozen om hier de grens te trekken.
Pc's kunnnen namelijk lastig geinfecteerd worden als de enige applicatie die internet gebruikt teamvieuwer is (in geval van nood). Als ze geinfecteerd moeten worden dan zal dat dus fysiek moeten gebeuren

dinsdag 7 december 2021 09:31

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

Kun je niet iets als adminbyrequest installeren?
Dan richt je hem met approval, heb je helemaal geen unieke wachtwoorden meer nodig, ook geen aparte accounts

is in OT ook vaak fijner omdat je dan het user account waarmee ze werken (tijdelijk) admin rechten geeft

https://www.adminbyrequest.com/

[ Voor 28% gewijzigd door laurens0619 op 07-12-2021 09:42 ]

CISSP! Drop your encryption keys!

dinsdag 7 december 2021 09:32

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op vrijdag 3 december 2021 @ 09:53:
Ok dus een soort HMI software waarschijnlijk. Is het niet mogelijk om dat in kiosk mode te draaien? Dan kan de user niks slopen. Daarnaast een monteur/beheer account met MFA. Dan maakt een static wachtwoord niet uit zolang de MFA niet bekend is.
"If the kiosk user is enabled for MFA, disable it because MFA is currently not supported in multi-app kiosk mode scenarios.

"
https://docs.microsoft.co...n-windows-multi-app-kiosk

Jammer genoeg ondersteund kiosk geen mfa

dinsdag 7 december 2021 09:53

Acties:
  • +1 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 06:57

sh4d0wman

Attack | Exploit | Pwn

Why So Serious. schreef op dinsdag 7 december 2021 @ 09:32:
[...]
"If the kiosk user is enabled for MFA, disable it because MFA is currently not supported in multi-app kiosk mode scenarios.

"
https://docs.microsoft.co...n-windows-multi-app-kiosk

Jammer genoeg ondersteund kiosk geen mfa
De kiosk user hoeft geen MFA. Het beheeraccount / monteur moet MFA hebben. Je zult dus altijd verschillende users aanmaken.
1. Kiosk (user met extra (kiosk) restricties)
2. Monteur (power user of admin)
3. Administrator (bv IT beheer)

Dus dan zou het wellicht werken. De snelste manier is gewoon even testen met een virtuele machine.

Het gaat er niet zo zeer om dat men toegang tot de data op de computer krijgt als het fout gaat met je wachtwoorden. De computer kan gebruikt worden om het netwerk / andere netwerken aan te vallen bij besmetting (bv een bot/C2 implant). Let ook op dat het een machine aanstuurt en een aanvaller dit ook kan verstoren.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 7 december 2021 09:56

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
laurens0619 schreef op dinsdag 7 december 2021 @ 09:31:
Kun je niet iets als adminbyrequest installeren?
Dan richt je hem met approval, heb je helemaal geen unieke wachtwoorden meer nodig

https://www.adminbyrequest.com/
Heb even naar de site/video gekeken. Ziet er effectief uit.
Nadeel is dat alle pc's continu in verbinding staan met ons systeem.
Heb gehoord dat klanten dit geen fijne gedachten vinden.
nietemin ziet dit er wel goed uit en ben ik van plan om het verder uit te zoeken en eventueel voor te leggen.

dinsdag 7 december 2021 10:02

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op dinsdag 7 december 2021 @ 09:53:
[...]


Het gaat er niet zo zeer om dat men toegang tot de data op de computer krijgt als het fout gaat met je wachtwoorden. De computer kan gebruikt worden om het netwerk / andere netwerken aan te vallen bij besmetting (bv een bot/C2 implant). Let ook op dat het een machine aanstuurt en een aanvaller dit ook kan verstoren.
Snap ik vandaar dat zoveel mogelijk applicaties moeten worden geblokkeerd.
Veel beter kunnen we de boel niet afschermen in onze ogen.
De rest is de taak van de klant zelf.

dinsdag 7 december 2021 10:03

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op dinsdag 7 december 2021 @ 09:53:
[...]

De kiosk user hoeft geen MFA. Het beheeraccount / monteur moet MFA hebben. Je zult dus altijd verschillende users aanmaken.
1. Kiosk (user met extra (kiosk) restricties)
2. Monteur (power user of admin)
3. Administrator (bv IT beheer)
Oh op die manier. Ik ga ernaar kijken.

dinsdag 7 december 2021 12:59

Acties:
  • +1 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
sh4d0wman schreef op dinsdag 7 december 2021 @ 09:53:
[...]

De kiosk user hoeft geen MFA. Het beheeraccount / monteur moet MFA hebben. Je zult dus altijd verschillende users aanmaken.
1. Kiosk (user met extra (kiosk) restricties)
2. Monteur (power user of admin)
3. Administrator (bv IT beheer)

Dus dan zou het wellicht werken. De snelste manier is gewoon even testen met een virtuele machine.
Heb gekeken lijkt opzich prima. Heb alleen tot nu toe geen manier gevonden om de instellingen als admin zijnde makkelijk aan te passen. Met normale kiosk mode wel alleen bij multi app kiosk lijkt dit een stuk lastiger.
https://docs.microsoft.co...ndows-10-to-specific-apps

dinsdag 7 december 2021 13:22

Acties:
  • 0 Henk 'm!
  • Why So Serious.
  • Registratie: April 2016
  • Laatst online: 23:35

Why So Serious.

Topicstarter
Ik zat te denken, is het niet mogelijk om een applicatie op alle profielen op een pc te laten draaien maar dat deze alleen zichtbaar is op het admin account.

In dat geval zou ik een gebruiksvriendelijke applicatie zoals bijvoorbeeld winlock kunnen gebruiken maar heb ik ook de bescherming van mfa doordat de applictie alleen toegankelijk is vanaf het admin account.


Alternatief zou zijn om hem wel zichtbaar te hebben op alle profielen maar de user te dwingen om als admin in te loggen (inclusief mfa) om de app te kunnen gebruiken.

Laatste alternatief zou nog zijn om de app via normale mfa te vergrendelen.
Voor zover ik kan zien zijn er helaas voornamelijk opties voor websites of microfsoft accounts en geen opties voor mfa voor reguliere desktop apps

Iemand ervaring met een van deze opties?

[ Voor 39% gewijzigd door Why So Serious. op 07-12-2021 14:21 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq