Zjištění hesla do administrátorskému účtu v XP

Disk nebýva zaplombovaný, standardně je pod volně přístupnou krytkou na spodku notebooku.
Zkus se podívat po neějaké utlitě na odheslování BIOSu.
Pokud se ti podaří resetnout heslo na notebooku, pak muzes pouzit bootovaci DVD na zjisteni hesla k admin uctu, pokud heslo obsahuje jen alphanumericke znaky (zadne specialni znaky nebo diakritiku)

Eee. Toto je IBM Lenovo a je tam fůra plomb, Disk nebýva.... to je ten problém, tady je.
Dobře. Tak já se přiznám.
Ten notebook není můj, ale má ho používat blízká osoba.
Problém je v tom, že ten kdo mu ten notebook konfiguroval je s prominutím debil a idiot zakombinovaný v jedné osobě.
Jednak mu zablokoval úplně všechno co jen pitomec mohl (IE6 neaktualizované je taková špička ledovce) a i když mu dodal kabel na připojení k LAN, tak se nedostane ani ke konfiguraci.
Vrcholem je nenainstalovaný driver ke grafice, takže jakýkoliv pohyb sliderem například ve Wordu zacykluje i dvoujádrové IBM Lenovo na cca 4s. a pak teprve se to začne vykreslovat.

To že se s takovým kryplem nemá vůbec smysl o něčem bavit dokazuje i rozlišení notebooku 1650 x 1440 (nebo tak nějak) takže na takovém notebooku bez lupy nebo bez zvětšeného písma nikdo nic neuvidí.
Navíc by se ten stroj musel takovému hlupáku posílat a už teď si o něm nic dobrého nemyslím.
Protože při prvním rozhovoru razantně odmítl poskytnou administrátorský účet (pro ladící účely).
S takovým člověkem nemám chuť se vůbec bavit.
Mám už své životní zkušenosti a odhady a musím říci, že ne o každém člověku mám vysoké mínění.

Njn. Admin není blbý, ale taky neodvedl práci dokonale. Za sebe mi třeba takové rozlišení vyhovuje, vidím na blízko velmi dobře. Ale ta konfigurace OS je fakt otřes... Osobně bych doporučil mu to jít vyreklamovat, že se na tom nedá dělat. Poskytuje službu (tj. notebook bez možnosti administrace je "jen" pracovní nástroj), tak ať se stará.

P.S.: já to dělám zrovna tak (ještě navíc hesluju v BIOSu disk , takže i když jej někdo vytáhne, tak si s ním může tak akorát podložit viklající se stůl - je to mj. bezpečnostní opatření) a admina bych taky nedal, a to ani kamarádovi s kterým chodím na oběd. Na druhou stranu se snažím, aby uživatelům nic nechybělo k práci a aby ty systémy byly funkční.

V podstatě tento přístup chápu.
Ale taky si myslím, že je nutno rozlišovat, komu přesně dáváš notebook, zda sekretářce, která zná pouze Word a nebo nějakému pokročilejšímu uživateli, pro kterého je to dynamický nástroj.
Díky podobně nesmyslným restrikcím se objevují v novinách (iDNES) kreslené vtipy, kde pronáší zaměstanec do firmy vlastní notebook, ale je spacifikován a vyzván ochrankou, aby odložil i ten "nestandardní mobil", který schoval pod slipy. (Tomu vtipu může porozumět jenom ten kdo je opravdu takto "drcen" směrnicí.)
V tomto případě ten člověk odved tak mimořádně ubohý výkon, že kdyby se alespoň podíval jenom do Správce zařízení, tak by tam jistě spatřil vícero žlutých vykřičníků.

Například každý programátor si OS nakonfiguruje přesně pro své potřeby.
Pokud by takto zablokovaný notebook dostal, tak se může sebrat a odejít domů, hledat práci.

Ano, souhlasím. Jenže taky chápu security požadavky IT (protože je sám definuju) a vím, co znamená pro bezpečnost sítě uživatel s admin přístupem. Dokonce si troufám tvrdit, že právě uživatelé, kteří rozumí PC více jsou o dost nebezpečnější, protože se domnívají, že se jim nemůže nic stát a že mají vše pod kontrolou. A nejhorší jsou bývalí ajtící, kteří pracovali v nějaké menší firmě, kde se na bezpečnost moc nehledělo. U těchto lidí jsem měl už několik bezpečnostních incidentů (nejhorší byl jeden človíček, co si nainstaloval do PC WinPcap a další nástroje a snažil se odchytávat hesla přes ARPspoofing a strašně se pak divil, že jsme ho za pár minut (díky IPS/IDS) vyhmátli - už u nás nepracuje a byl to poslední člověk, který kdy dostal lokálního admina).

A co se týká programátorů, myslím, že pokud jim dáš dobře nastavený a nainstalovaný PC s vývojovým prostředím bez admina, zato např. s nainstalovaným virtuálním počítačem na testování, nemůžou se moc vymlouvat. BTW, je smutným faktem, že právě vývojáři tak nějak "automaticky" předpokládají, že každý uživatel má lokálně admina, což mně osobně hodně štve.

Teda ja nesouhlasim.

sit ma byt zabezpecena, ikdyz ma uzivatel PC lokalniho admina.

Ja jsem ve vetsi organizaci pracoval a bud uzivatele byli lokalni admini nebo jsem jim sdelil heslo na pozadani. Souhlasim s tim, ze je problem, ze nekteri programatori predpokladaji uzivatele jako admina a ze to je spatne, ale je to tak a diky tomu je proste znalost admina pro nektere uzivatele potreba.

Jinak ale vse ma byt zabezpeceno tak, aby lokalni admin nemohl zlikvidovat nic krome sveho PC a i ten s obtizemi a to je jeho vec.

Tak. Tak. Vlastní neschopnost zabezpečit si síť nemá admin kompenzovat tím, že znemožní 99% funkcí na stroji.
Všechno je to o důvěře.
Při vstupu do banky taky nedává ochranka pouta na ruce a "medvěda" na nohy každému zákazníkovi, jenom proto, že to může být potenciální lupič.
Když máš zbrojní pas a zbraň, tak to taky znamená, že (teoreticky) můžeš kohokoliv zabít, ale oni ti tu zbraň přesto přenechají, protože k tobě mají důvěru.

Blbeček, který se snaží nainstalovat do sítě software na kradení hesel je jen opačný extrém blbečka, který blokuje všechno a hraje si na "velkého admina".

Kvůli těmto debilům se pak rozpoutávají diskuse typu:
- jestli si může občas odeslat z podnikového PC zaměstnanec soukromý e-mail.
- jestli smí použít ke komunikaci ICQ nebo si musí všechno platit (např. obvolávat vlastním mobilem)

Administrátor je tam od toho, aby řešil případné problémy.
Zaměstnavatel je tam od toho, aby kontroloval výkonnost lidí (=zda splnili zadané úkoly a jak)

Pokud se někde objeví nějaký extrémní pičmulínek bez nadhledu, tak se nakonec jenom stará o to, jak komu co pozablokovat a kdy dotyčný odeslal a jaký email (porušení poštovního tajemství), přitom už dávno v té firmě nemá co pohledávat, protože zablokovaná PC správce nepotřebují, nedají se softwarově poškodit.

V některých podnicích by už nejraději každému přikazovali, kdy může chodit na záchod a jak se tam má "u toho" tvářit do kamery.

A taky se musím ohradit proti tomu konstatování, že programátor se obejde bez administrátorského účtu.
Toto může prohlásit (bez urážky) jedině člověk mimo obraz.
Takto lze přistupovat jedině k "programátorům" nějakých SAIA-kontrollerů nebo něčeho podobně specifického.
Normální člověk potřebuje instalovat nové aktualizace a moduly.
PC je - ať se nám to líbí a nebo ne, živý organismus.
Pokud má člověk zůstat v obraze a nestát se degenerujícím, chřadnoucím tvorem, musí mít větší možnosti než se tupě "zabarikádovat" do nějakého neaktualizovatelného programu a tam postupně shnít zaživa.

Všechno je to o důvěře.

Ty asi neadministruješ, co? Základem je, že ti useři neochvějně lžou do očí (a usvědčí je jen logy; je to zkušenost z několika různých firem), takže o nějaké důvěře vůči userům nelze z hlediska IT lidí zase až tak moc mluvit . Pak: IT nejsou lidi, co mění tonery v tiskárnách. To je (nebo mělo by být) oddělení, které předchází problémům a řeší evoluční požadavky firmy ohledně inf. technologií. Uživatel, neznalý všech IT procesů běžících na pozadí, zato mající admin. privilegia, je problém (nikoliv potenciální).

Co se týká ICQ a podobných věcí, je mi to celkem jedno, u nás jsou zakázány firemní směrnicí, a já to celkem chápu. Jednak ICQ není bezpečný protokol a jednak se tím šíří viry a konečně to není pracovní nástroj. Kdo chce ICQčkovat, nechť tak činí doma na vlastním HW

Co se týká "bezpodmínečného" instalování aktualizací, toto je úkol pro IT, aby pracovníkovi umožnilo jeho práci, pokud to opravdu potřebuje. Nástroje na to jsou, ať se už jedná o SW pro vzdálenou správu a distribuci SW, nebo prosté korektní nastavení access permissions na soubory, složky a registry. Problém je, že programátoři si často myslí, že jsou i dobří v IT, což namnoze není pravda. Zatím jsem všechny nově přišedší programátory, kteří se domnívali, že admina výslovně potřebují, přesvědčil, že to není pravda.

BTW, proč si všichni programátoři myslí, že zvládnou spravovat počítače a počítačové sítě? Ostatně několik takových firem, kde si každý dělal co chtěl jsem nakonec musel, poté co na to málem dojeli, v potu tváře postavit zase do provozuschopného a řiditelného stavu.

síť není zabezpečená, pokud mají uživatelé možnost útočit (a tu díky admin kontu mají). Jakmile mám lokálního admina, lze začít útočit na jiné PC, dokonce lze velmi efektivně útočit na doménové kontrolery, sbírat NTLM hashe, útočit na ně hrubou/slovníkovou silou, atd.

Jinak prostý uživatel (i programátor) admin. privilegia k práci nepotřebuje (IDE běhají i pod std. userem a testuje se na testovacích PC nebo virtuálních PC). To je jen pocit většiny uživatelů, že nutně "potřebují" administrátorský přístup. Já sám admina používám jen ke správě systémů, jinak pracuju pod tím stejným "omezeným" účtem jako ostatní lidi.

Když to shrnu, admin. účet se používá k:
- správě PC (uživatel nemá co spravovat, ale pracovat, spravuje administrátor)
- instalaci SW (uživatel nemá co instalovat, ale pracovat. Instaluje administrátor)
- šíření virů (tady je to doufám jasné )

A konečně: je známo, že 90% reálných útoků (tj. pomineme-li script kiddies a podobný póvl) pochází z vnitřku firmy. Nehledě na to, že poté, co všichni uživatelé přišli o možnost podělat si svůj vlastní systém, poklesl o značný objem počet požadavků o nápravu nefunkčního počítače nebo SW. I to jsou totiž náklady, které musí firma nést, prostoje pracovníka, náklady na obnovení funkce a dat atp.

Amen.

Dodám že IDE sice běží pod userem, ale je dost věcí (většinou legacy věcí) co vývojář potřebuje (nepř. ODBC administrace, COM+ administrace)

To ovšem vše řeší speciální local admin kterého může developer dostat, ale pracovat bude muset pod userem - to se dá vhodně zařídit třeba tím, že admin účet nebude mít přístup na proxy.

Zmínil jsi virtual PC, pochopitelně ideální řešení.

tak tak.. v praci pracuju pod omezenym a jen v pripade nutnosti pod adminovskym uctem. Ale doma delam jen pod adminem :) Zkousel sem to i pod omezenym ale .. no proste mi to nevoni I v linuchu delam casto pod rootem :p - pozn: kdyz si neco zlikviduju tak se nic nedeje, nemam nic cenneho na domacim PC

Takže tvé reakce shrnu krátce takto:

- Nikdo administrátorské oprávnění nepotřebuje
- Ty a další odpůrci tohoto oprávnění ho sice máte, ale používáte ho "přece" jenom když potřebujete
- Administrátorské oprávnění, tak jako ostatní zaměstnanci, využíváte k útoku na sítě, protože jinak není potřebné
- Když dáte administrátorské oprávnění někomu, tak to znamená, že pracuje pořád pod ním
- Mezi uživatelem s administrátorským oprávněním a Hisbaláckým teroristou není žádný rozdíl
- Každý člověk je typizovaný a software se systém který používá už má vytvořen k obrazu svému
- dataprojektory a možnosti prezentace vyrábí jen extrémně hloupý výrobci, protože běžný uživatel nesmí mít právo nastavit rozlišení, které potřebuje projektor

A teď už vážně. Nedivím se, že hodně lidí podniká "na vlastní pěst" a podobným společnostem se zásadně vyhýbají.

- Ty a další odpůrci tohoto oprávnění ho sice máte, ale používáte ho "přece" jenom když potřebujete

Ano, jenže mou prací je právě ta administrace Proč je to tak těžké pochopit? Když se v továrně rozbije (nebo vyžaduje údržbu) složitější stroj, opravuje ho přece údržbář (zkušený, vyškolený, znalý bezp. předpisů), a ne operátor. Stejné je to i s počítači. Tak byly navrženy - jeden admin (root) a zbytek uživatelé, s různými právy. Anebo jsi taky naštvaný na gynekology, že mají přístup tam, kam jiným je přístup zapovězen?

Na zbytek asi nemá smysl reagovat, snad vyjma projektorů apod. - projektory naši zaměstnanci normálně používají a nemají s tím problém (a dokonce to nevyžaduje jediný administrativní zásah, funguje to "samo"). Co se dilematu zaměstnání vs. podnikání týká - to je přece svobodné rozhodnutí každého jedince..

Nezlob se na mě, ale tvé argumenty opravdu nejsou racionální.

Jj s některýma lidma je to marný. Když se jim nedá root, jsou uraženi, protože mají dojem, že pouze malé děti a psi by měli používat user účet, což jim tak hezky XP předkládají.

Nikdo se ale nedovede vžít do role admina kterého je adminovat opravdu práce a ne jen role pro nahonění jeho ega, a když mu user rozesere stanici, je jeho odpovědnost toho člověka co nejrychleji dostat do pracovního procesu stahování tupých flash animací a hraní solitéru.

Dělat admina stanic koncových uživatelů je nevděčná práce. Ještě že dělám něco jiného :)

tak já bych "jen administraci" dělat taky nemohl, bohužel nemáme na to speciální hochy, takže si to střiháme taky. I proto je potřeba, aby se co nejvíce úloh automatizovalo a člověk nemusel kolem těch lidí chodit