Sleduj nás na LinkedIne
poznáme.itBezpečnosťNieco o mne a jeden zazitok navyse

Nieco o mne a jeden zazitok navyse

Ondrej Žilinec
Ondrej Žilinec
Bezpečnosť

Ahojte. Volam sa Ondrej Zilinec. Mam 31 rokov a mam dve krasne deti a jednu uzasnu manzelku. Ale toto asi o mne vediet nechcete Smile Pisem vacsinu clankov bez diakritiky a inak tomu nebude ani v tomto pripade. Ked niekedy, ak vobec, budem pisat knizku, tak pridam aj diakritiku. A teraz podme na mna.

S pocitacmi som sa zacal stykat ako 15 rocny. Moj prvy pocitac bol Sinclair ZX Spectrum. Neskor som mal SMEP PP06, co bola raroha velka ako cestovny kufor so spotrebou malej miesacky. Dalej som uz presedlal na 386, 486 atd. Takze som zacinal na programoch, ktore boli nahrate na magnetickych paskach a pisane v jazyku BASIC. Neskor som sa stretol uz aj s MS DOS-om a nasledne skoro vsetky verzie Windows. Zazil som aj casy, ked najvacsi macher na sidlisku bol ten, ktory mal v Norton Commander-i napisane dvoj az troj urovnove Menu. Ja som mal to trojurovnove. Vzdy som sa hrabal do systemu, tam kde ma najmenej bolo treba. Chcel som pochopit podstatu veci a vzdy ma zaujimalo ako vsetko funguje. Kym sa ostatni hrali hry na pocitaci, tak ja som sa hrabal na starych systemoch v autoexec.bat-e a config.sys-e. Taktiez som preliezol vsetky utilitky v C:\DOS adresari. Ked som mal este SMEP PP06, tak som si len tak, zo srandy, pustal .exe subory z adresara C:\DOS. Bez akejkolvek znalosti anglictiny a strachu som klikal vsetky moznosti v danych .exe suboroch. MS-DOS vydrzal necele 3 hodiny. Dostal som sa len po pismeno F. Konkretne po .exe subor s nazvom fdisk.exe Smile

Ako som tak rastol, do vysky aj do sirky, tak som sa snazil nasat co najviac informacii a znalosti z oblasti pocitacoveho sveta. Odoberal som dokonca aj PC REVUE a dokazal som ho precitat za dva dni od zaciatku po koniec. Vtedy tam nebolo este 90% reklamy a 5% balastu. Teraz ked som uz narasteny do vysky aj do sirky, tak pracujem ako IT konzultant v jednej nadnarodnej spolocnosti. V praci riesim veci, ktore ma vzdy zaujimali – zahady. Preco nieco robi nieco ine ako to niekto chce? Preco aplikacia pada, ked 5 rokov fungovala spravne? Preco dany server nechce nabootovat? Ak chcete odpoved na otazku „preco“, potrebujete najprv odpoved na otazku „ako“. Musite najprv pochopit ako dana vec funguje, aby ste pochopili preco nechce  fungovat a ako to opravit.

Kedze som uz starsi clovek a informacii je vela, zacal som si pisat vlastny blog – http://www.cievo.sk/. Pisem si ho ako svoj poznamkovy blok. Moja pamat je uz taka zla, ze uz par krat som googlil informacie ohladom nejakeho problemu tak dlho, az som sa dogooglil na vlastny blog Smile

Takze tolko o mne a podme na jeden zapeklity problem, ktory som si sam sposobil a sam som si ho musel aj opravit.

Zakaznik si prial, aby som:

  • Premenoval lokalnych administatorov na pocitacoch
  • Zakazal lokalnych administratorov na pocitacoch

Zakaznik je maly, co sa IT tyka. Ma jeden server (Windows 2003), ktory robi vsetko. Robi od sietovych sluzieb (DHCP, DNS, WINS,…), cez Active Directory (dalej len AD) az po suborovy server. Samozrejme, lokalny itckar mal, a pouzival len administratorsky ucet DOMENA\Administrator. Kedze ma zakaznik AD, rozhodol som sa pouzit GPO na splnenie zakaznikovych priani. Vytvoril som novu GPO na urovni domeny – kedze som to chcel aplikovat na vsetky domenove pocitace. Pouzil som nasledovne nastavenia:

Premenovanie lokalneho administratora:

admin_1

Zakazanie lokalneho administratora: 

admin_2

Po aplikovani danej politiky som s hrozou zistil, ze sa uz nemozem prihlasit na radic domeny s uctom DOMENA\Administrator. Ze vraj ucet neexistuje. Tak som skusil, len tak zo srandy, ucet DOMENA\admin (ten predtym neexistoval). Ten napisal, ze je Disabled.

MS_Windows_login

Co to ma znamenat? Vsak sme menili nastavenia lokalnych administratorov. Preco by sa mali menit domenovi administratori? Na radicoch domeny je jediny lokalny uzivatel a to je Administrator, ale ten sa pouziva len pri prihlaseni do Directory Services Restore Mode – nema nic spolocne s domenou. Domenovy administrator je ulozeny v domene. Ked som sa pozrel na popis danej politiky, tak mi dal dany popis za pravdu:

MS_admin

Podla popisu sa jedna len o lokalnych administratorov. Tak som zacal patrat po nete a nasiel som oficialne KB od Microsoftu. Je to specificky pripad len pre Windows 2000 a Windows 2003. Tam sa pise, ze ked dane politiky uplatnite na urovni domeny, tak sa nezmenia len lokalni admini ale aj domenovy administrator DOMENA\Administrator. Zaujimava vynimka – kto o nej ma vediet? To znamena, ze radic domeny spravil len to, co som mu povedal, ze ma spravit. No super. Takze mame problem. Vieme co ho sposobilo. Len ako to opravit, kedze jediny admin je zakazany a este aj premenovany? Ako to cele vratit spat? Je vobec sposob?

No rieseni je viacej:

  • Cele to preinstalovat. Toto riesenie sa mne nepaci. Je to vela prace a zbytocnej.
  • Pouzit lokalneho administratora na radic domeny a nejak pozmenit GPO politiku. Samozrejme, ked treba heslo, tak heslo nie je. Takze ani tadialto cesta neviedla.
  • Dostat sa na disk daneho radica domeny a spravit cary-mary aby sa vsetko opravilo a fungovalo dalej. Toto je nasa cesta z pekla.

GPO politky su len textove subory na radicoch domeny, ktore spracuvavaju DLLky na pocitacoch v domene (tzv. Client Side Extensions). Takze potrebujeme dane nastavenie zmenit v novej GPO politike, restartnut radic domeny a vsetko bude OK. Ake jednoduche. Tak podme na to. Najprv sa potrebujeme dostat na disk radica domeny. To mozeme kludne spravit tak, ze nabootujeme napriklad instalacku Windows 7 na radici domeny. Po nabootovani instalacky stlacim Shift + F10 a dostanem konzolu cmd.exe.

MS_Install

V nej sa dopatrame ku ulozeniu suborov novej GPO politiky (podla datumu):

MS_konzola

V danej politike prejdeme jej strukturov, az sa dostaneme ku suboru GptTmpl.inf, ktory obsahuje moje „suprove“ nastavenia:

MS_konzola_2

V danom subore zmenime jednu hodnotu a to EnableAdminAccount z hodnoty 0 na hodnotu 1:

MS_gptm_tmpl

Taktiez je potrebne zvysit verziu GPO politky, aby sa povazovala za novsiu a tym padom, aby sa aplikovala. To spravime zvysenim hodnoty Version v subore GPT.ini v GPO politike:

MS_policy_version

V mojom pripade bola hodnota 4 a zvysil som ju na 40:

MS_policy_version_increase

Subory ulozime a restartneme radic domeny a viola, vsetko funguje ako predtym.

Taktiez si je dolezite uvedomit, ze ak byvale heslo uctu DOMAIN\Administrator nesplna poziadavky hesla nastavene politikou v domene, tak nie je mozne dany ucet takto zapnut. Je potrebne dane nastavenia hesla najprv zmenit.

Samozrejme si treba uvedomit, ze nie vzdy je tento sposob mozny. Napriklad nebol by taky jednoduchy, ak by instalacka Windows 7 nepoznala dany radic diskov na radici domeny. Vtedy by bolo potrebne vlozit ovladac daneho radica diskov do instalacky Windows 7, alebo pouzit iny pristup ku danym suborom na disku.

Takze na zaciatok takyto kratucky pribeh ako som si spravil sam problem a musel som si ho aj sam vyriesit. Dufam, ze nikto z vas nepouziva ucet Administrator z domeny, ale vsetci mate vytvorene vlastne ucty, ktore maju rovnake prava ako domenovy administrator Smile.

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.

By Ondrej Žilinec
Ondrej Žilinec
Ondrej Žilinechttp://www.cievo.sk/
Pracujem ako IT konzultant v nadnárodnej spoločnosti. Zaujímam sa o rôzne veci v oblasti IT – Operačné systémy, bezpečnosť, siete, virtualizácia a iné. Z oblasti Microsoft produktov sa primárne venujem Windows Server, Exchange, ISA/TMG, AD a viacerým nie veľmi známym technológiám ako je BranchCache, ADFS, ADWS.

PREDVYBRANÉ PRACOVNÉ PONUKY »

NAJNOVŠIE BLOGY

Čítaj ďalej: