Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Active Directory

05-02-2013, 19:50 door Funzy83, 6 reacties
Hoi,

Ik werk in een IT bedrijf, tweedelijnssupport. Ik ben momenteel bezig met een opleiding netwerkbeheer. Daar zijn we nu bezig met Active Directory.

In het befrijf waar ik werk wordt er ook gebruik gemaakt van Active Directory , ik heb hierbij echter volgende vraag omtrent user accounts en group accounts.

Ik weet hoe je user accounts aanmaakt en in groep accounts kan steken en dan group policy' s kan toewijzen , ik weet ook hoe je users en groepen rechten kan geven op een file server. We hebben ook een bedrijfsstructuur opgezet en deze geimplementeerd in Organizational Units (OU) in Active Directory.

Nu de vraag :

Bij ons in het bedrijf gebeurt het inloggen op werkmachines in sommige ruimtes en lokalen volgens een zelfde gebruikersnaam . Meer concreet, het lokaal heeft als nummer G22. Elk personeelslid in dit lokaal heeft zijn eigen werkmachine, en logt in op die werkmachine met de naam LokaalG22 en het daarbij horende wachtwoord.

Logt iedereen in de ruimte G22 in onder dezelfde user of zie ik dit verkeerd ?

Of logt iedereen aan met de naam van de groep (als dat al kan) ?

Moest het zo zijn dat iedereen volgens dezelfde username aanlogt , dan is er toch geen controle mogelijk ?

Of zie ik iets essentieel over het hoofd in het Active Directory verhaal ?
Reacties (6)
05-02-2013, 19:54 door Anoniem
Ik denk dat je dit moet vragen bij degene die dit systeem bedacht heeft.
Dit is geen zaak van Active Directory maar van degene die de conventies
in je bedrijf bedenkt en implementeert.
05-02-2013, 21:20 door Anoniem
Inloggen met een groep is in Active Directory niet mogelijk.
Zoals ik het lees zijn er twee mogelijkheden.

1.
Op alle pc's is een locaal account met de naam LokaalG22.
Totaal onveilig, slechte security audit e.d. en waarvoor heb je dan Active Directory?
Als het accounts gehackt is, moet je op alle pc's het wachtwoord opnieuw invullen.
Gelukkig kan dit dan wel weer met scripts e.d.

2.
Iedereen werkt met hetzelfde Active Directory account.
Iets beter, audit redelijk, maar hoe weet je welke persoon op welke machine heeft ingelogd en op welk tijdstip?
Als er ooit problemen zijn, kun je niet achterhalen welke persoon er nu echt achter de pc zat.
Immers je ziet alleen LokaalG22.
Daarbij komt als iemand te vaak een fout wachtwoord intikt, kan meteen de hele groep niet meer inloggen.
Dit lijkt me ook niet de bedoeling.

Een betere oplossing zou zijn om voor elke gebruiker een eigen account aan te maken.
Bijvoorbeeld ZoetemelkJ
In de eventlog van de DC's kun je dan altijd terugzien welke gebruiker op welke pc op welk tijdstip heeft in/uitgelogd.
Bij foute wachtwoorden c.q. hack incidenten hoeft alleen het betreffende account aangepakt te worden.

Overigens,
Is dit niet basiskennis voor systeembeheerders?
Active Directory mag dan wel iets met DNS doen, maar hoort eigenlijk niet bij Netwerkbeheer.

Suc6

Groeten,
Barry
05-02-2013, 21:41 door Erik van Straten
Door Funzy83: Bij ons in het bedrijf gebeurt het inloggen op werkmachines in sommige ruimtes en lokalen volgens een zelfde gebruikersnaam . Meer concreet, het lokaal heeft als nummer G22. Elk personeelslid in dit lokaal heeft zijn eigen werkmachine, en logt in op die werkmachine met de naam LokaalG22 en het daarbij horende wachtwoord.

Logt iedereen in de ruimte G22 in onder dezelfde user of zie ik dit verkeerd ?
Voordat ik de vraag probeer te beantwoorden, eerst een stukje inleiding.

Bij XP /W2k3 en ouder is het duidelijk of de computer lid is van het domein: dan is in de logon-dialobox, naast gebruikersnaam en wachtwoord, een keuzeveld met de naam van de computer en van 1 of meer domeinen beschikbaar, zie bijv. http://i.technet.microsoft.com/dynimg/IC196885.gif (daat plaatje komt uit deze pagina: http://technet.microsoft.com/pt-br/library/cc780332(v=ws.10).aspx). Als dat derde keuzeveld niet zichtbaar is, kun je dat met de "Options >>" knop zichtbaar maken.

Vanaf Vista en later werkt dat niet meer zo. Hoewel velen het zouden willen, is het hierin getoonde plaatje nep: http://www.edugeek.net/forums/windows-7/35575-domain-logon-screen.html. Helaas...

Een uitstekende, doch Engelstalige, uitleg met plaatjes van hoe het ging en gaat staat in http://www.jdfoxmicro.com/resource-center/articles/logging-on-selecting-domain/.

In het plaatje http://www.jdfoxmicro.com/_images/LogonWin7.png (uit genoemde pagina) zie je het volgende:

1) Username (niet te wijzigen): JDFOXMICRO\jshelby
2) Passwordveld gevolgd door een knop (=>) (die hetzeldfe doet als de Enter toets drukken)
3) Knop [Switch User]

Wat je in dit geval moet weten is dat JDFOXMICRO een domainname is - het had echter net zo goed de naam van een PC kunnen zijn.

In antwoord op jouw vraag of iedereen die met username "LokaalG22" inlogt hetzelfde account gebruikt: dat hangt ervan af wat ervoor staat. Stel je hebt 2 gebruikers en 2 PC's die "PC1" en "PC2" heten:

Scenario 1: Als gebruiker 1 op PC1 inlogt met PC1\Lokaal22 en gebruiker 2 op PC2 inlogt met PC2\Lokaal22, dan zijn dat totaal gescheiden accounts met totaal verschillende SID's. Ze worden dan geauthenticeerd op basis van de lokale SAM database (onderdeel van het register op elke PC).
Scenario 2: Als gebruiker 1 op PC1 inlogt met AD\Lokaal22 en gebruiker 2 op PC2 inlogt met AD\Lokaal22, dan gaat het om hetzelfde account (en dezelfde SID+RID). Als er van roaming profiles gebruik gemaakt wordt, zal het profiel van degene die het laatst uitlogt bewaard blijven. Nb. je kunt ook mandatory profiles gebruiken, die worden altijd "gereset" na gebruik (niet teruggeschreven naar de server als je uitlogt).
Beantwoordt dit jou vraag?

Meer over SID's en RID's, en het feit dat domain PC's ook gewoon accounts hebben in een domain (PS en zelfs regelmatig hun wachtwoord moeten updaten;) lees je hier: http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx.

Nb. het verplichten van het gebruik van de Ctrl-Alt-Del sequence om in te loggen is verstandig vanuit securityoogpunt, vooral in klaslokalen e.d. (dit om te voorkomen dat een aanvaller niet uitlogt maar een trojan start die het inlogscherm toont; zodra iemand daarop "inlogt" worden de credentials gemailed o.i.d., wordt de aanvaller uitgelogd en de nieuwe gebruiker alsnog ingelogd - die van dit alles niets hoeft te merken).

Bij het uitzoekwerk (nodig om m'n oude en wat grieperige geheugen op te frissen) voor het bovenstaande kwam ik het volgende tegen: in http://support.microsoft.com/kb/308226 biedt Microsoft de keuze uit een handmatige oplossing en Fix-It tooltjes om Ctrl-Alt-Del te verplichten of juist uit te zetten - in XP t/m Windows 7. En het zou me niet verbazen als dit ook werkt in W8, ervaringen zijn welkom!

Dit kan natuurlijk ook via group policy of registerhacken zoals http://www.mydigitallife.info/enable-press-ctrlaltdel-secure-logon-on-windows-7-or-vista/ laat zien (met plaatje van hoe het welkomstscherm er dan uit kan zien).
05-02-2013, 23:04 door Funzy83
Bedankt voor de reacties Barry en Eric Verstraeten.

Even ter verduidelijking . In mijn verhaal gaat het niet over lokale gebruikers, de gebruikers loggen aan op werkstations die lid zijn van het domein, ze loggen dus in als volgt : DOMEINNAAM\LokaalG22.

Uit jullie nuttige uitleg ben ik wijzer geworden dat bij ons iedereen in hetzelfde lokaal met dezelfede (AD) useraccount aanlogt op het domein. Ik wist niet dat dit mogelijk was .

Ik stel me hierbij nog wel een extra vraagje, stel dat er gebruik gemaakt wordt van roaming profiles, Geeft dat dan geen problemen op de harde schijf waarop de map voor de roaming profiles geplaatst wordt ? Stel, er zijn 5 gebruikers ingelogd met dezelfde user account op de DC , zijn er dan ook 5 mappen voor de roaming profiles aanwezig met dezelfde naam ?

Eric bedankt voor de links, er zitten er erg nuttige tussen .
06-02-2013, 10:29 door Anoniem
Fynzy, de gebruikers krijgen de zelfde netwerkschijven te zien. Gaat het om Windows XP of Windows 7?

Uit ervaring weet ik dat dit 1e lijn werk is, en dat je dit soort dingen dan zelfs hoort te weten. Bij welk bedrijf werk je? ^^
06-02-2013, 15:28 door Anoniem
Door Anoniem: Fynzy, de gebruikers krijgen de zelfde netwerkschijven te zien. Gaat het om Windows XP of Windows 7?

Uit ervaring weet ik dat dit 1e lijn werk is, en dat je dit soort dingen dan zelfs hoort te weten. Bij welk bedrijf werk je? ^^

Dat is geen antwoord op mijn vraag .

Even ter verduidelijking. De vraag is wat er gebeurd met de map van de roaming profiles als er meerdere gebruikers met dezelfde username aangemeld zijn op het domein .

Gebruiker x logt aan op het domein, er wordt een map gecreerd voor het roaming profile van de gebruiker (wss op een fileserver), het pad is ingevuld in de properties van de gebruiker in Active Directory.
terwijl gebruiker x aangemeld is logt gebruiker y aan op het domein met dezelfde useraccount, Wordt er dan een nieuwe map gecreerd voor de roaming profiles, of kan gebruiker y dezelfde map gebruiken als gebruiker x ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.