sicurezza

[maxmauri]

Qualche giorno fa ho scritto in questo forum raccontantdo l'esperienza di veder installare un programma da remoto sul mio pc pur avendo montato il firewall blackice.
Il mio SO è windows 2000 server, e lavoro in una LAN piuttosto grande.
Premetto che blackice era settato con il livello più alto di protezione, ma non in modo stealth.
In ogni caso fino ad oggi aveva assolto bene il suo compito.
Oltre all'installazione del programma, ho notato che nel gruppo Administrators figura sia il classico Administrator che un altro utente il cui nome è formato da numeri tipo "\S-1-5-21-171134-123 ecc.".
Ovviamente NON è stato inserito da me, e stranamente NON figura tra gli users, mentre nel gruppo users è presente un altro utente con un nome numerico identico a quello descritto prima tranne che per l'ultimo numero che risulta aumentato di uno.
In più, l'user "guest" disabilitato per default da win 2000 e da me verificato più volte, è stato riattivato.
Qualcuno sa darmi una spiegazione di tutto questo?
E' chiaro che sono riusciti ad entrare nel pc, ma non capisco in che modo.
E' possibile che l'amministratore di rete riesca ad accedere al mio pc riuscendo addirittura a installare applicazioni in remoto?
Come ho già detto lavoro in una LAN piuttosto grande con diversi domini.
Quando è successo tutto questo ero loggato come administrator sulla mia macchina (pur essendo in rete).
Scusatemi per la lunghezza del messaggio.
Grazie.
Maurizio.

[netbomb]

ma tu sei l'amministratore della tua macchina o dell'intera LAN?

[BubuKing]

Certo che si possono installare programmi da remoto.
Esistono molti tool per la software distribution, uno di questi è SMS di Microsoft, che uso in azienda.
Non c'è firewall che tenga, perché sfrutta un agente che è presente anche sul client.

Ciao.

[maxmauri]

Originariamente inviato da BubuKing
Certo che si possono installare programmi da remoto.
Esistono molti tool per la software distribution, uno di questi è SMS di Microsoft, che uso in azienda.
Non c'è firewall che tenga, perché sfrutta un agente che è presente anche sul client.

Ciao.

Ok, ma un firewall non dovrebbe bloccare o quanto meno segnalare il traffico di rete?
Blackice (so bene che non è un firewall professionale) avrebbe dovuto segnalare l'installazione che, sicuramente, avveniva tramite una porta aperta sul mio PC.
Invece non ha segnalato proprio nulla.
E poi, scusa, ma in questo modo chiunque possegga SMS di Microsoft può entrare a piacimento in un qualsiasi computer?
Non credo, penso che per accedere devi autenticarti sul pc client...
Io non sono assolutamente l'amministratore della LAN, ma della mia macchina si.
E questo dovrebbe essere sufficiente per decidere le 'intrusioni' nella mia macchia da parte di qualsiasi utente della rete, e ,credevo, anche dell'amministratore di rete.
E' possibile che ci siano diritti maggiori di "Administrator" sulla macchina?
Grazie.
Maurizio

[BubuKing]

Io non so come siano settate le politiche della tua rete, anche se non vorrei essere nei panni di un sistemista che ha degli utenti Administrator (non voglio polemizzare, non fraintendere, sto parlando in generale).
Comunque non è detto che io usi un programma. Sulla tua macchina potrebbe anche essere installato l'rcmd e l'installazione essere avvenuta completamente da dos. Se ho una login di admin delle macchine della mia rete, basta che in una mia finestra di Dos io scriva rcmd [nomemacchina] e mi ritrovo davanti al prompt della tua workstation.
Poi considera che un qualsiasi firewall non controlla TUTTE le porte TCP/IP.
Non lo fa Firewall 1 su Unix, figuriamoci un programmino Win32...

[maxmauri]

Originariamente inviato da BubuKing
Io non so come siano settate le politiche della tua rete, anche se non vorrei essere nei panni di un sistemista che ha degli utenti Administrator (non voglio polemizzare, non fraintendere, sto parlando in generale).
Comunque non è detto che io usi un programma. Sulla tua macchina potrebbe anche essere installato l'rcmd e l'installazione essere avvenuta completamente da dos. Se ho una login di admin delle macchine della mia rete, basta che in una mia finestra di Dos io scriva rcmd [nomemacchina] e mi ritrovo davanti al prompt della tua workstation.
Poi considera che un qualsiasi firewall non controlla TUTTE le porte TCP/IP.
Non lo fa Firewall 1 su Unix, figuriamoci un programmino Win32...

Capisco che avere degli utenti Administrator in una rete crea qualche 'fastidio', ma vedere installare programmi nel proprio computer magari mentre stai impazzendo tra sql 2000, asp, web server, non è meno fastidioso!
Inoltre ho sempre ritenuto che il pc è uno strumento di lavoro personale, e curiosarci dentro o addirittura installare programmi come se fossi il padrone, non è 'educato'.
In pratica la trovo una violazione della privacy.
Comunque, sapresti dirmi come agisce la sequenza di avvio di win 2000 server?
In pratica, quali file e con quale ordine manda in esecuzione i file di boot: il programma che è stato installato parte prima ancora del logon.
Potrebbe essere nel registro di configurazione?
(ti premetto che nel registro di configurazione alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run non c'è.)
Grazie ancora per la dosponibilità.
Maurizio

[BubuKing]

Non troverai mai niente, in quella voce di registro di Windows 2000.
Solitamente queste cose sono gestite da servizi.
Comunque non ho idea di che strumento usino, quindi posso dirti ben poco.
Solitamente noi avvertiamo prima di prendere il controllo della macchina, tranne che in casi di assoluta emergenza.

Certi software vengono invece distribuiti e aggiornati automaticamente, con procedure e script "artigianali", che produciamo ad hoc. L'utente ha la sua directory "Dati", che non viene mai toccata da nessuno, per il resto la worstation è di nostra "proprietà", e noi amministratori ne facciamo quello che ci pare più giusto. Anzi adesso partiremo con delle politche nuove di "blindatura" delle macchine.
L'utente potrà solo avviare i programmi che servono al suo lavoro. Niente lettore cd-rom. Nessuna possibilità anche solo di modificare il desktop.
Fantastico! (:

[maxmauri]

Originariamente inviato da BubuKing
Non troverai mai niente, in quella voce di registro di Windows 2000.
Solitamente queste cose sono gestite da servizi.
Comunque non ho idea di che strumento usino, quindi posso dirti ben poco.
Solitamente noi avvertiamo prima di prendere il controllo della macchina, tranne che in casi di assoluta emergenza.

Certi software vengono invece distribuiti e aggiornati automaticamente, con procedure e script "artigianali", che produciamo ad hoc. L'utente ha la sua directory "Dati", che non viene mai toccata da nessuno, per il resto la worstation è di nostra "proprietà", e noi amministratori ne facciamo quello che ci pare più giusto. Anzi adesso partiremo con delle politche nuove di "blindatura" delle macchine.
L'utente potrà solo avviare i programmi che servono al suo lavoro. Niente lettore cd-rom. Nessuna possibilità anche solo di modificare il desktop.
Fantastico! (:

Bhè... fantastico dipende dai punti di vista...
Mi sembra proprio una batteria di polli d'allevamento, e spesso, i risultati di queste politiche sono appunto quelli.
Forse sarebbe più corretto (e meno soffocante) blindare una (o più)cartelline ad uso esclusivo dell'azienda e lasciare l'intera macchina all'utente.
Del resto all'azienda interessa la produttività dell'impiegato, come la raggiunge saranno affari suoi.
Punti di vista... infatti.
Nessuna macchina è veramente autonoma, in caso contrario sarebbero loro ad usare noi e in quel caso gli uomini sarebbero inutili, anche gli amministratori di rete.
Comunque grazie per le informazioni che mi hai dato, anche se il programma in questione continua ad imperversare sulla mia macchina.
Prima o poi troverò la soluzione.
Maurizio

[ecc]

Be magari un Buon Firewall hardware risolve ogni problemaci piu o meno e un bel programma di aggiornamento Bug di Win2000SRV eccetera eccetera. Cosa migliore un Bel Server Linux a posto del Win e configurando in maniera adeguata gli IP table si risolveegragiamente il tutto. Tutto questo sopratutto per dire che un Fw hardware se ben configuarto sicuramente e meglio di un Fw software che è sempre bucabile, anche se nn ce la sicurezza assoluta
Luca