ビルトインのAdministratorは無効にすべき
ビルトインのAdministratorとは、OSをインストールした時に出来るAdministratorのことです。
ちなみにVistaではデフォルトで無効で、明確な理由があります。
そのままにしといて、Administratorに対して総当たりかけられたら困るのは誰でも分かります。
そこで、対処法として良くあるのがAdministratorの名前を変える。実はこれも大抵の環境で不合格。名前を変えただけではRIDが必ず500であるため、どの名前に変わったかがネットワーク経由で簡単に分かります。
正解は以下の手順。
- 新規ユーザを作成してAdministratorsグループに追加する
- Administratorを無効にする
- Administratorのパスワードを空文字、または長いものに設定する
これが最低限。Administratorを無効にしたって元のLMハッシュなどがSAMに残るから、3をやっとくと良いってどこかで読みました。当時はなるほどと思いましたね。
記事としては終わりなんですが、一応補足。
Q.ログオンに成功する前にユーザ名(SID)の列挙が出来るのか?
A.大抵のWindows OSのデフォルトが「(NULLセッションに対して)許可」です。
NULLセッションってのは空のユーザ名と空のパスワードでPCに接続することです。これは、Windows同士が情報を共有するために使う。逆に、NULLセッションに対してSIDの列挙を制限するとWindowsのサービスにも影響がでる。よってデフォルトが許可。
クラッカーはそこらへんを熟知しており、進入目標のアカウントを特定してきます。
# ちなみにこの記事のヒントはとある会社の方から頂きました。ネタにするのが遅くてごめんなさい。ちゃんと直してね。
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/147973/15525484
この記事へのトラックバック一覧です: ビルトインのAdministratorは無効にすべき:
コメント