¿Es posible no almacenar las contraseñas localmente?

15

A principios de este año, estaba jugando en las computadoras de las escuelas y descubrí la contraseña administrativa de una computadora en mi salón de clases. Me di cuenta de cómo XP almacenaba sus contraseñas, iniciaba en Ubuntu y tomaba los archivos SAM y SYSTEM. Me preguntaba si era posible almacenar estas contraseñas en una computadora remota y usar computadoras de escritorio móviles, de modo que si un sistema estuviera comprometido, las contraseñas seguirían siendo seguras porque no estaban almacenadas en la máquina local, pero sí una remota que solo verifica ¿Su acceso al dominio? Lo ideal sería que algún servidor de computadora estuviera en algún lugar como en la oficina o el armario de la red, pero cualquier consejo o comentario sobre el tema sería bueno. Gracias por cualquier ayuda

    
pregunta cutrightjm 13.12.2011 - 18:52
fuente

3 respuestas

18

Sí, debe tener la computadora en un dominio y desactivar el almacenamiento en caché de contraseñas . Sepa que si hace esto recibirá el error "El sistema no puede iniciar sesión ahora porque el dominio no está disponible". si el servidor de dominio está inactivo.

Esto se puede hacer configurando una política de grupo para que HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount se establezca en 0.

    
respondido por el Scott Chamberlain 13.12.2011 - 19:00
fuente
5

Olvídese de Kerberos, es muy laborioso / costoso de implementar. El póster de esta pregunta ha tenido un 'momento eureka' válido. Pero parece olvidar que, si bien las contraseñas ya no se guardan en caché en su escenario, aún pueden ser rastreadas y capturadas en el cable.

Sin embargo, el principio principal de la observación del póster (es decir, eliminar los enlaces débiles y reducir los vectores de ataque a través del almacenamiento de credenciales en un servidor de identidad central) sigue en pie. Me he dado cuenta de que este mismo principio ya se ha traducido a aplicaciones basadas en la nube y software web con compañías que ofrecen servicios de inicio de sesión único (es decir, almacenamiento de credenciales en un servidor de nube central y seguro para simplificar el acceso y promover el uso de contraseñas más complejas y diversas) . Estos servicios se traducen en gestión de identidad ... mucho más que la simple gestión de contraseñas.

El reciente pirateo de Sony Playstation Network reveló que incluso los usuarios 'expertos en tecnología' y 'conscientes de la seguridad' están reutilizando la misma contraseña en el número cada vez mayor de cuentas en línea. Por supuesto que eran ... y probablemente todavía lo son! ¿Cuántas contraseñas puede recordar una persona? Solo un servicio de inicio de sesión único que pueda vincularse con Active Directory puede acercarse a una solución total.

¿Alguien ha encontrado una oferta de servicios como esta todavía? Ahora estoy probando una solución beta en www.smartsignin.com El cifrado que han implementado no utiliza una única clave "completa" en su servidor de identidad en la nube que pueda desencriptar sus credenciales almacenadas. En su lugar, la clave se divide entre el servidor y el sistema del usuario. De este modo, el usuario controla el descifrado en tiempo real desde su navegador para cada una de las cuentas a las que accede desde su nuevo perfil de identidad centralizado. Bastante bien, creo. También tienen autenticación de múltiples factores para evitar que las sesiones sean secuestradas. Eche un vistazo y hágame saber lo que piensa.

    
respondido por el Ashish 14.12.2011 - 21:07
fuente
2

Como acababa de demostrar con su arranque de Ubuntu, también tomaría las medidas para bloquear cualquier arranque USB o CD / DVD en las máquinas locales para evitar cualquier intento de omisión de los UAC de AD (supongo) y potencialmente obtener acceso a la red local.

Si los administradores son inteligentes, deberían hacer que todos los datos internos atraviesen un firewall (así como datos externos) para evitar que cualquier usuario no autorizado que se encuentre en el dominio local gire a otra máquina o usuario en otra parte del Dominio o a otro dominio por completo por diversas razones nefastas.

    
respondido por el Appropriate Sound 14.12.2011 - 09:09
fuente

Lea otras preguntas en las etiquetas