[ Ho come l'impressione di cercare di aprire un vaso di pandora, o la botola dell'inferno a seconda dei gusti... ;) ]
Uso tranquillamente una serie di dominî NT-like fatti con Samba e LDAP e client tutti belli uniformi XP Pro, su cui opero un discreto quantitativo di smanacciamenti aiutato dello splendido WPKG. In occasione della questione 'amministratori di sistema' abbiamo aprofittato per fare un po' di chiarezza, separando gli amministratori veri (di rete ;) dallo staff di manutenzione, che ha bisogno più che altro delle credenziali sui sistemi client. La situazione attuale è quella di uno staff che è in 'Domain Admins', quindi è amministratore delle macchine al logon sul client. Inoltre ho predisposto tramite WPKG, colla, scotch e fil di ferro un sistema che permette di cambiare la password di administrator nei client, che per ora è ovviamente uguale per tutti. L'amministratore vero della rete windows (root) è disabilitato; ci si arriva da UNIX con sudo, poi ci si cambia la password a qualcosa di sensato e lo si usa fino a che serve (normalmente, sistemare ACL nei dischi), poi si disabilità (e se ci si dimentica, ci pensa uno script notturno). Mi piacerebbe: 1) togliere a tutti il gruppo Domain Admins (root a parte, of course), di modo che come deve essere anche gli amministratori siano utenti normali quando fanno cose normali. Questa cosa però mi spaventa perchè credo che in questa maniera perdo d'un botto tutte quelle cose carine come l'accesso diretto a \\nomecomputer\C$ o l'equivalente accesso al registry e a gestione computer. 2) D'altro canto è plausibile che queste cose (l'accesso diretto a servizi di altre macchine) sia il modo con cui un eventuale malware possa diffondersi, quindi anche ad avere i privilegi (che in samba non ho, parlo di 'net rpc grant' per capirsi) non mi sembrerebbe una furbata abilitarli. Idem con patate mettere la stessa password di administrator, grazie al 'password caching' di windows se entro come administrator su una macchina ho accesso automaticamente a tutte le altre, quindi la mia idea è di modificare leggermente l'accrocchio di cui sopra, di modo che cambi in modo random la password di admnistrator e la salvi server-side, con l'aggiunta di un qualcosa che mi permette di recuperarla (e stamparla) alla bisogna. 3) per poter lavorare sulle macchine a questo punto userei sudowin (che so solo esistere e che non ho mai usato...), dando i permessi per poter eseguire 'net ...' e cambiare la password di administrator, logoff e via. Chiaro che se la macchina è fuori rete (o il servizio di sudowin è morto ;) mi serve la pass di amministratore 'vera' che è server-side, e se sono in situazione di emergenza (senza connettività) mi servirà anche che qualcuno me la detti al telefono. Sarei anche eventualmente interessato a una autenticazione per administrator a due fasi (token usb, ...), come ben avete immaginato voglio essere un amministrator di sistema bastardo, ma non voglio trovarmi sulla spiaggia dorata di malibù (ok, di Bibione ;) tra due splendide ragazze con gli occhi azzurri (ok, Marta e Irene, 3 e 5 anni ;) con il cellulare che urla e la gente che impugna il mio fantoccio e gli spilloni. Giusto per sapere, ad esempio: Microsoft che fa per questa cosa? Grazie. -- Se si insegna a un bambino a programmare in qualche linguaggio informatico, questo esercizio logico lo renderà padrone e non schiavo del computer. (Umberto Eco)
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
