مشکل پیدا کردن پسورد کاربر Admin توسط کاربر محدود شده
با سلام ، دوستان من جديدا به مشكلي برخوردم كه تعدادي از پرسنل با اينكه user limited هستند پسورد admin سيستم خودشون را پيدا كردن و با اون وارد Administrator ميشن و برنامه نصب ميكنن يا تغييراتي در ويندوز ميدن. راه حلي وجود داره كه به هيچ عنوان نشه اين پسورد را هك كرد؟ چندين بار هم پسورد را تغيير دادم اما باز هم اونو پيدا ميكنن.
13 پاسخ
جناب abozar :
ببخشيد من متوجه نشدم شبكه domin با workgroup در اين مورد سوال چه فرقي دارن؟ خب روي domin هم ميتونن با استفاه از همين نرم افزار پسورد را هك كنن.
از نظر cookie چك كن چون ممكنه از كامپيوترش به جايي وصل شدي و رمزي ذخيره ميكني
مانند mstsc يا share يا حتي يك صفحه وب كه رمز ادمين خواسته و ذخيره كردي كه ميشه با برنامه باز كردش
من يادمه يه زماني دانشگاه رمز وايرلس براي ما فقط وارد ميكرد ولي يادش ميرفت commit كنه و من تيك زيرش رو زدم رمز لو رفت
(مباحث پيرفته تر هم هست كه اينجا جاش نيست و اگه سايت hackfroum قابل ديدن براي ما ايراني ها بود خوب بود)
به نقل از مهندس شمس آبادی که در مقاله خود مهمترین تنظیمات Group policy رو ذکر کرده :
مطابق تصویر به Account Policies برید و وارد Account Lockout Policy شوید
در این قسمت شما می توانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.
Account lockout duration: در این قسمت شما مشخص میکنید که زمانی که یک حساب کاربری قفل شد پس از چند دقیقه دوباره فعال شود. در صورتی که این مقدار را صفر قرار دهید حساب کاربری قفل شده تنها بدست مدیر شبکه و بصورت دستی فعال میشود
Account lockout threshold : این قسمت مشخص میکند که کاربر حداکثر چند بار میتواند رمز عبور اشتباه وارد کند. اگر آن را صفر قرار دهید کاربر هیچ محدودیتی در وارد کردن رمز اشتباه نداشته و هیچگاه حساب او قفل نمیشود . پیشنهاد میشود که هیچ گاه عدد یک را برای این مورد انتخاب نکنید زیرا کاربر ممکن است گاهی به اشتباه رمز عبور خود را وارد کند
ممکنه کاربران شما از نرم افزار هایی که تست میکنن پسورد چی هست استفاده میکنن که نرم افزار با سعی و خطا پیدا کنه رمز عبور شما رو طبق تنظیمات گفته شده میتونید کاری کنید تا کاربر مثلاً فقط 5 بار بتونه پسورد رو اشتباه بزنه پس از 5 بار اکانت یوزر غیر فعال میشه و شما مچ طرف رو میتونی بگیری و سپس با یه LOG نگاه کردن ویندوز به موضوع پی میبری.
به نظر من از روش تغییر cmd این کار رو انجام میدن
چون به شخصه همین کار رو من در شرکت انجام دادم و به هیچ طریقی نتونستن جلوم رو بگیرن
روشش اینه که جای cmd با یکی از نرم افزار ها مثلا utilman که قبل از لاگین بالا میاد عوض بشه
این باعث میشه که قبل از لاگین به صورت ادمین میتونن رمزهای سیستمی رو با کامنت پرومپ تغییر بدن
به این روش بک دور گفته میشه
در عین حال توجه کنید که یکیشون این رو به دست بیاره به دوستاش هم ممکنه بده ، پس الزامی نداره همشون راهکار یکسانی داشته باشن
قطعا نرم افزار بر روي سيستمشون نصبه اما مطمئنم كه keylogger نيست چون من پسورد را با استفاده از remote شدن به سيستمش تغيير ميدم. واقعا نميدونم چيكار كنم كه نتونه اين پسورد را كشف كنه
چند تا راه به ذهنم میرسه رو میگم:
یکی از کار هایی که کاربرا میتونن انجام بدن اینه که ممکنه با CdHirensboot میان بالا و پسورد Admin رو ریست میکنن و میان بالا.
یکی دیگه از کارهایی که شما باد انجام بدید اینه که چک کنید یوزرشون تو گروه های Admin نباشه ممکنه اومدن و یوزرشون رو جزء اون گروه ها قرار دادن.
یکی دیگه از کار هایی که میتونید انجام بدید اینه که نرم افزاری مثل Netsupport نصب کنید و مانیتور کنید که چی کار میکنن
حتماً راه حلی دارن برای خودشون شما باید تمام موارد امنیتی رو رعایت کنید و حتی موقع عوض کردن پسورد از پسور های Complex استفاده کنید.
شما سرور دارید تو شبکه اگر دارید ممکنه Domain باشه سیستم هاتون.
با سلام و خداقوت .ببخشید ی سوال داشتم از دوست خوبممون : مگه این روش تغییر cmd مگه نیاز به CD بوت نداره (با توجه به اینکه گفتین CD ها رو بستین؟) ببخشید میتونید کمک کنید بهم راجع به اینکه پورتهای USB که از طریق GFI بسته شده رو باز کنم ؟ممنون میشم راهنمایی بفرمایید.
احتمال زیاد برنامه هاییی مثل Key Logger نصب کردن و شما هر پسوردی هم میزارید اونا مثل آب خوردن پیدا میکنن.
جهت اطلاعات بیشتر به لینک زیر مراجعه کنید
رمز به دست اورده يا عوض شده؟؟
اين خيلي مهمه
چون رمز اگه ساده باشه ميشه با Burteforce پيداش كرد.يا اگه رمز داشتن ممكنه از دستت ديده باشن يا اينكه fishing زدن بهت ;)
روش دوم عوض كردن رمز :
كه آيا cd رام ها بسته است؟براي bios رمز گذاشتي؟؟ چند تا مورد ديگر و....
با سلام
این پسورد admin سیستم می باشد و از طریقه نرم افزار boot به راحتی میتوان تغییر داد. اگر واقعا این مسئله مشکل ساز شده میتونی شبکه رو domain کنید تا مدیریت بیشتری بر روی کاربران داشته باشی.
دوست عزیز شما نباید فراموش کنید که امنیت شبکه شما فقط بحث فنی نیست ، شما باید یک چک لیست امنیتی داشته باشید و از طریق اون بحث امنیت فیزیکی رو در شبکه برقرار کنید و در نهایت برسید به ابعاد فنی ، وقتی کاربری بتونه به CDROM یا DVDROM شما دسترسی داشته باشه و از طریق اون فرآیند Boot رو انجام بده شما هیچ کاری نمی تونید بکنید ، بنابراین اولین اقدام ، برداشتن بوت از روی CD و USB و قرار دادن رمز روی CMOS سیستم و پلمب کردن دستگاه هست ، در نهایت همه سیستم ها باید عضو دامین باشند و کاربران Local Administrator اونها همشون غیرفعال باشه ، اصلا نیازی به کاربر Local وجود نداره ، من حدسم این هست که این دوستان کاربران Local رو پیدا می کنن اگر کاربر Domain باشه که فاجعه هست ... این موارد رو رعایت کنید و تا جای ممکن کاربرتون رو محدود کنید ، به هر حال این پیشنیازهای یک شبکه امن هست ..
جناب soheils:
رمز را بدست آورده. cd نداره،پورت usb بسته است. اما فقط به اينترنت دسترسي داره.رمزي كه براي ان قرار داده ام انجنان رمز ساده اي نيست و تركيبي از حروف كوچك و بزرگ و عدد است.قطعا و 100 % در زمان تايپ آن ديده نشده است چون به هيچ عنوان از پشت سيستم كاربر وارد Admin نمي شويم و فقط به صورت remote به آن وصل ميشوم.
99.9% با استفاده از يك نرم افزار كه نياز به نصب خاصي ندارد اين كار را انجام داده است.