"Tomasz Chmielewski" <tch@nospam.syneticon.net> wrote in message
news:e94rv6$sk6$1@newsreader2.netcologne.de...
> Dariusz Kiszkiel wrote:
> (...)
>>> No tak, ale jeśli w trybie awaryjnym konto administratora nie jest
>>> zablokowane, to po co ta cała szopka? Sprytny spryciarz umie przecież
>>> uruchomić kompa w tym trybie, więc co za różnica, czy będzie próbował
>>> odgadnąć hasło admina w trybie normalnym czy awaryjnym?
>>> pozdr
>>> RAQ
>> Szopka powiadasz? :)
>> Jaka różnica? Uważam, że spora... HINT: Network. Wyłączenie konta
>> administratora nie ma być przecież remedium na wszystkie bolączki
>> ogólnie pojętego bezpieczeństwa. :) W naszym akurat przypadku,
>> czynność ta ma zmniejszyć zagrożenia napływające głównie od strony
>> sieci. Idąc Twoim tokiem rozumowania.... Po co zabezpieczać poufne
>> dane w lokalnej sieci przy pomocy np. IPSec, skoro ktoś,
>> teoretycznie, może uzyskać nieautoryzowany, fizyczny dostęp do
>> miejsca w którym te dane są przechowywane? Can you see my point? ;)
>> Ja z kolei nie bardzo rozumiem skąd ten opór przed wyłączeniem konta
>> lokalnego administratora w środowisku domenowym. (?) Tak często
>> okazuje się, że jest ono Wam niezbędne?
>> BTW. W domowym zaciszu i w sytuacji gdzie dostęp do komputera ma jedna
>> osoba (ewentualnie osoby z niego korzystające mają prawo korzystać z
>> konta administratora), paradoksalnie lepiej jest zostawić konto
>> admina bez hasła... :) Dlaczego? Poczynając od XP, konta z pustym
>> hasłem, nie mają prawa "Access this computer from the network". Więc
>> lepiej żadne niż np. "Azorek". ;)
> I jakis robal uruchomiony z prawami uzytkownika bedzie mogl sobie bez
> problemu zalozyc kolejne konto administratora, czy bez problemu uruchamiac
> sie jako SYSTEM... bardzo dobra rada.
Zdaje się, że nie zwróciłeś uwagi na dość istotne zdanie...
>>Więc lepiej żadne niż np. "Azorek".
Równie dobrze można napisać, że jakiś robal z brute-force password guessing,
będzie mógł dostać się na konto lokalnego admina.
Ale jak czytam swojego posta, to widzę, że faktycznie można było to
przejrzyściej sformułować...
Czasami lepiej żadne niż _słabe_ hasło. W ten sposób wykluczysz przynajmniej
ataki sieciowe właśnie na konto admina... A np. w takich sieciach
osiedlowych, których w Polsce są przecież krocie, tego typu ataki z całą
pewnością nie należą do rzadkości...
Tak więc wciąż obstaję przy tym, że rada wcale nie jest tak beznajdziejna
jak to sugerujesz....
Kilka słów o braku dostępu z sieci dla kont z pustym hasłem:
"Use Account Passwords
To protect users who do not password-protect their accounts, Windows XP
Professional accounts without passwords can be used only to log on at the
physical computer console. By default, accounts with blank passwords can no
longer be used to log on to the computer remotely over the network or for
any other logon activity except at the main physical console logon screen.
For example, you cannot use the secondary logon service (RunAs) to start a
program as a local user with a blank password.
Assigning a password to a local account removes the restriction that
prevents logging on over a network. It also permits that account to access
any resources it is authorized to access, even over a network connection. As
a result, it is better to leave a blank password assigned to an account
rather than assigning a weak, easily guessed password. When assigning
account passwords, make sure the password is at least nine characters long
and that it includes at least one punctuation mark or non-printing ASCII
character within the first seven characters.
Caution: If your computer is not in a physically secured location, it is
recommended that you assign passwords to all local user accounts. Failure to
do so allows anyone with physical access to the computer to easily log on by
using an account that does not have a password. This is especially important
for portable computers, which should always have strong passwords on all
local user accounts. Note: This restriction does not apply to domain
accounts. It also does not apply to the local Guest account. If the Guest
account is enabled and has a blank password, it will be permitted to log on
and access any resource authorized for access by the Guest account.
If you want to disable the restriction against logging on to the network
without a password, you can do so through Local Security Policy."
-- Darek (DAKOTA)Received on Thu Jul 13 10:05:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 13 Jul 2006 - 10:42:03 MET DST