Security Professionals
- ipfw add deny all from eindgebruikers to any
hashes deleten uit de SAM?
12-03-2013, 19:32 door Anoniem, 4 reacties
Zoals bekend slaat een windows PC gebruikerswachtwoorden gehashed
op in de SAM. Als je op een domein werkt en je logt in op een PC
dan slaat hij het accountwachtwoord in de locale SAM op, als je
daarna offline bent kun je nog steeds met dat account inloggen.
Weet iemand of er ook een tooltje bestaat waarmee je deze lijst van
opgeslagen wachtwoorden kunt beheren? (entries wissen, met name)
Ik ken wel tooltjes waarmee je de entries kunt afdrukken. En ik
heb gelezen over grof geweld zoals de hele SAM wissen terwijl de
machine geboot is van een boot CD. Maar er zal toch wel een API
zijn waarmee je gewoon entries netjes kunt deleten? En dan zou er
ook een tooltje kunnen zijn wat dat kan.
op in de SAM. Als je op een domein werkt en je logt in op een PC
dan slaat hij het accountwachtwoord in de locale SAM op, als je
daarna offline bent kun je nog steeds met dat account inloggen.
Weet iemand of er ook een tooltje bestaat waarmee je deze lijst van
opgeslagen wachtwoorden kunt beheren? (entries wissen, met name)
Ik ken wel tooltjes waarmee je de entries kunt afdrukken. En ik
heb gelezen over grof geweld zoals de hele SAM wissen terwijl de
machine geboot is van een boot CD. Maar er zal toch wel een API
zijn waarmee je gewoon entries netjes kunt deleten? En dan zou er
ook een tooltje kunnen zijn wat dat kan.
Reacties (4)
14-03-2013, 12:16 door
SirDice
Het is me bekend dat je deze dingen kunt opvragen en dat je daarmee de boel kunt hacken, maar wat ik
juist wil is dat voorkomen. En dan liever niet door die hele caching uit te zetten want dan kun je niet
meer offline werken.
Ik heb nu het aantal users op 1 staan maar dat betekent dat het niet meer zomaar mogelijk is om offline
in te loggen op een laptop waar je al eerder op gewerkt hebt, iets wat mensen toch wel op prijs stellen.
Het liefst zou ik dus een tooltje hebben wat ik als local administrator kan runnen en waarmee ik gecachte
user credentials kan listen (alleen de usernamen) en vervolgens kan deleten vanuit een scriptje.
Dan kan ik bijvoorbeeld cached user credentials deleten waarvan het profiel niet meer op de betreffende PC
staat (die deleten we met delprof na 30 dagen niet meer gebruikt te zijn).
Of ook credentials die er helemaal niet op hadden mogen staan.
Zo is het bijvoorbeeld voor Domain Admins niet toegestaan om in te loggen op een werkstation, maar als
iemand dat toch probeert dan krijgt hij weliswaar een popup "due to local policy it is not allowed to logon
under this account" maar als je dan gaat kijken dan staan de administrator credentials dus wel in de cache!!
Foutje...
Die wil ik dan deleten om het risico uit te sluiten dat iemand deze administrator hash kan jatten.
Maar hoe???
juist wil is dat voorkomen. En dan liever niet door die hele caching uit te zetten want dan kun je niet
meer offline werken.
Ik heb nu het aantal users op 1 staan maar dat betekent dat het niet meer zomaar mogelijk is om offline
in te loggen op een laptop waar je al eerder op gewerkt hebt, iets wat mensen toch wel op prijs stellen.
Het liefst zou ik dus een tooltje hebben wat ik als local administrator kan runnen en waarmee ik gecachte
user credentials kan listen (alleen de usernamen) en vervolgens kan deleten vanuit een scriptje.
Dan kan ik bijvoorbeeld cached user credentials deleten waarvan het profiel niet meer op de betreffende PC
staat (die deleten we met delprof na 30 dagen niet meer gebruikt te zijn).
Of ook credentials die er helemaal niet op hadden mogen staan.
Zo is het bijvoorbeeld voor Domain Admins niet toegestaan om in te loggen op een werkstation, maar als
iemand dat toch probeert dan krijgt hij weliswaar een popup "due to local policy it is not allowed to logon
under this account" maar als je dan gaat kijken dan staan de administrator credentials dus wel in de cache!!
Foutje...
Die wil ik dan deleten om het risico uit te sluiten dat iemand deze administrator hash kan jatten.
Maar hoe???
15-03-2013, 10:52 door
SirDice
Er is geen API want het is niet de bedoeling dat iemand in die cache gaat zitten rommelen.
Verder moet je bedenken dat zelfs een Administrator geen toegang heeft en z'n rechten eerst moet 'verhogen' naar Local System. Een administrator die dat doet kan veel meer dan alleen wat in die cache neuzen. Het is dan eenvoudiger om een rootkit te installeren en op die manier aan login gegevens te komen. Je hebt dan serieuzere problemen.
Verder moet je bedenken dat zelfs een Administrator geen toegang heeft en z'n rechten eerst moet 'verhogen' naar Local System. Een administrator die dat doet kan veel meer dan alleen wat in die cache neuzen. Het is dan eenvoudiger om een rootkit te installeren en op die manier aan login gegevens te komen. Je hebt dan serieuzere problemen.
Er zijn *diverse* programma's die deze cache gewoon uitprinten en die je gewoon als local administrator kunt starten.
Bij ons is de local administrator van de werkstations een andere user dan de domain administrator.
(ik weet dat er netwerken zijn waar dat niet zo is maar ik ben niet dom)
Ik denk dat het niet onmogelijk is voor gebruikers envoor trojans/malware om local administrator te worden.
Dat is heel moeilijk helemaal dicht te timmeren. Maar dan zijn ze nog geen domain administrator.
Echter, als een gebruiker local administrator is dan kan hij wel de hashes uitlezen van andere domain gebruikers die
op die computer hebben ingelogd, uit die cache. Daarmee kan hij offline aan het werk om hun wachtwoord te hacken.
Daarom wil ik deze mogelijkheid beperken tot gebruikers die wel eens van die computer gebruik maken, en uitsluiten
dat op die manier het domain admin wachtwoord gehacked wordt. Dit wordt wel degelijk beschreven als een scenario
bij gecompromitteerde bedrijfsnetwerken.
(gebeurtenissen zoals Diginotar)
Daarom deze vraag. Ik hoef ook helemaal net te "rommelen in de cache", alleen maar ongewenste entries eruit
gooien. Iets wat ik heel simpel kan doen door het aantal op 1 te zetten en te rebooten. Alleen dan heb ik geen
controle over welke entries eruit gaan en welke blijven staan.
Dat betekent dat bijvoorbeeld "de uitleenlaptop van de helpdesk" een probleem is omdat mensen die deze laptop
een avondje mee willen nemen altijd EERST met het ding aan het LAN moeten inloggen anders kunnen ze er
offline niet op werken. En dat kon vroeger wel als ze die laptop een weekje eerder ook al geleend hadden.
Bij ons is de local administrator van de werkstations een andere user dan de domain administrator.
(ik weet dat er netwerken zijn waar dat niet zo is maar ik ben niet dom)
Ik denk dat het niet onmogelijk is voor gebruikers envoor trojans/malware om local administrator te worden.
Dat is heel moeilijk helemaal dicht te timmeren. Maar dan zijn ze nog geen domain administrator.
Echter, als een gebruiker local administrator is dan kan hij wel de hashes uitlezen van andere domain gebruikers die
op die computer hebben ingelogd, uit die cache. Daarmee kan hij offline aan het werk om hun wachtwoord te hacken.
Daarom wil ik deze mogelijkheid beperken tot gebruikers die wel eens van die computer gebruik maken, en uitsluiten
dat op die manier het domain admin wachtwoord gehacked wordt. Dit wordt wel degelijk beschreven als een scenario
bij gecompromitteerde bedrijfsnetwerken.
(gebeurtenissen zoals Diginotar)
Daarom deze vraag. Ik hoef ook helemaal net te "rommelen in de cache", alleen maar ongewenste entries eruit
gooien. Iets wat ik heel simpel kan doen door het aantal op 1 te zetten en te rebooten. Alleen dan heb ik geen
controle over welke entries eruit gaan en welke blijven staan.
Dat betekent dat bijvoorbeeld "de uitleenlaptop van de helpdesk" een probleem is omdat mensen die deze laptop
een avondje mee willen nemen altijd EERST met het ding aan het LAN moeten inloggen anders kunnen ze er
offline niet op werken. En dat kon vroeger wel als ze die laptop een weekje eerder ook al geleend hadden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
