Mega quesito da chiedere agli esperti di reti aziendali e di win2000

[caponord]

Ciao a tutti, premessa d’obbligo non sono un hacker, cracker o robe di questo tipo, sono solo curioso di apprendere un po’ di cose su reti e sulla sicurezza aziendale.

Ipotizziamo di essere all’interno di una grande rete aziendale con centinaia di pc tutti dotati di Sistema Operativo Win2000, l’accesso al PC (ed a tale rete) avviene alla mattina mediante USERID e PASSWORD personali (la user potrebbe essere ad esempio la propria matricola, mentre la password scelta dall’utente e scadente ogni tot giorni).

Quesiti:

Dove viene salvata questa password di accesso, in locale o in rete ? (fosse quella dell’utente che lavora in remoto fuori rete non vi sarebbero dubbi, ma in questo caso non ne sono certo)

In che file viene salvata ? (il file SAM ?);

Qualora dovesse essere dimenticata c’è qualche possibilità loggandosi come amministratore (o come utenza tecnica) di recuperarla o recuperare il file ? (o intervenendo fisicamente sul pc, oppure loggandosi da remoto ?);

Nel caso che il file che contiene la password sia recuperabile dall’HD del PC (esempio file SAM), mi sembra di capire che non ci sono sistemi di poterlo leggere salvo quello di usare software tipo LC4 che intervengono a livello di Brute Force giusto ?. Sempre se non erro per il file SAM occorre operare fisicamente sul PC dato che a sistema operativo avviato non è possibile copiarlo in quanto il file risulta in uso.

Direi che per il momento è tutto, forse su alcune cose mi sono risposto da solo, vorrà dire che mi servirà da conferma.

Ciao e grazie a tutti.

CAPONORD

[futurekiller]

ciao! vediamo se posso darti un'aiuto...

Quote:

Dove viene salvata questa password di accesso, in locale o in rete ? (fosse quella dell’utente che lavora in remoto fuori rete non vi sarebbero dubbi, ma in questo caso non ne sono certo)

allora... di file sam ce ne sono 2... uno in c:\windows\system32\config
e uno in c:\windows\repair... in questo file vengono contenute solo le login e le password degli account LOCALI.. tipo ci sarà il classico Administrator, guest, ecc... quindi per prenderlo ad esempio devi bootare con un'altro SO tipo linux e prelevarlo.. e l'unica maniera che conosco eventualmente per visualizzare le password è un bel bruteforce.. con notevole perdita di tempo..

Per i logon di rete invece le password vengono memorizzate nel domain controller.. solitamente il primo server installato nel dominio

Quote:

Qualora dovesse essere dimenticata c’è qualche possibilità loggandosi come amministratore (o come utenza tecnica) di recuperarla o recuperare il file ? (o intervenendo fisicamente sul pc, oppure loggandosi da remoto ?);

Non serve a niente recuperare una password quando fai login da rete.. anche perchè basta aprire AD (active directory) (e ovviamente la mmc riguardante utenti e computer), fare tasto dx sul nome utente di cui hai perso la passwd e cliccare su cambia password.. così viene reimpostata senza perdere assolutamente niente.. ovviamente questa operazione può essere fatta solo da utenti con autorizzazioni di domain admin o altri gruppi con policy di modifica utenti..

spero di esserti stato d'aiuto..

ciao e buona giornata

[caponord]

Ciao FutureKiller e anzitutto grazie.
Diciamo che ti ho seguito in parte, dato che come avrai capito non sono esperto, quindi non perchè non ti sei espresso con chiarezza.

Per quanto riguarda i SAM OK ! li ho notati anch'io, da quello che avevo letto si può anche avviare la macchina con un apposito floppy di avvio che contenga le istruzioni per accedere a unità NFTS e con questo floppy salvarsi il file SAM su floppy. Da li come dici c'è per forza bisogno di un brute force, che ti costringe nel caso di password da 8 caratteri in su ad impiegarci da una settimana in su (dipende ovviamente dalla velocità della cpu e da che parametri si impostano).

Ok per il salvataggio delle password nel domain controller, solo chissà dove

Dove invece dici
---------------------------------
Non serve a niente recuperare una password quando fai login da rete.. anche perchè basta aprire AD (active directory) (e ovviamente la mmc riguardante utenti e computer)
---------------------------------

mi potresti dare qualche info in più ? Active Directory se ho capito è un software che potrebbe fare al mio caso, anche se cmq la mia è solo una volontà di sapere e certo non mi metto a cambiare le password aziendali

Per quanto riguarda i privilegi non sarebbe un problema dato che conosco la password di installatore di pc

Ciao e grazie ancora.
CAPONORD

[futurekiller]

allora, active directory è la nuova gestione dei domini windows server a partire dalla versione 2000.. non è un programma a parte.. quando crei e configuri il dominio viene inizializzato il serivizio di AD che serve per gestire policy, utenti, computer e quant'altro stà nel tuo dominio.. diciamo tutti gli oggetti.. detta in parole povere per farti capire è la versione server per Gestione utenti dei classici win 2000 e xp pro.. se tu su AD nella cartella dove hai tutti gli user fai tasto DX su uno ti viene fuori l'opzione imposta password.. ricordati comunque che è una cosa che può fare solo l'admin o utenti con i permessi di farlo e solo su domain controller.. quindi se vuoi fare un pò di esperienza installati una trial di windows server family.. ti consiglio la SBS del 2003 (Small Business edition) per provare che è proprio facile facile.. ciaociao e buona giornata