Hello!
"Disznóhús - ingyen", ahogy a régi zsidó vicc mondja.
Valamit valamiért. Nem tiltom a network bootot, mert az nekem könnyít
Ezzel inditottam. Meg kell talalni az egeszseges egyensulyt.
A tokeletes, feltorhetetlen rendszer egyben hasznalhatatlan is lehet.
Udv:
Molnar Peter
http://www.peter
"Disznóhús - ingyen", ahogy a régi zsidó vicc mondja.
Valamit valamiért. Nem tiltom a network bootot, mert az nekem könnyít
mindent, telepítést. Így időzítve tudok, rendszergazdai jelenlét nélkül
20-30 perc alatt egy termet végigtelepíteni, akár éjszaka.
Inkább fizikailag tiltom laptopok és más
Ha jól hiszem, Bálint István írta az alábbiakat:
> Igen, prábáltam.
> Nálam letilthatóak.
> Letiltom a removable, optical, usb devices (disable) - ekkor már csak 2
> opció marad: a network és a HDD.
> A network nekem a telepítéshez kell. Több gépen is így megy nálm, még
> nem találkoztam oilyan g
Igen, prábáltam.
Nálam letilthatóak.
Letiltom a removable, optical, usb devices (disable) - ekkor már csak 2
opció marad: a network és a HDD.
A network nekem a telepítéshez kell. Több gépen is így megy nálm, még
nem találkoztam oilyan géppel, amely ennek ellenére indítható lenne
tiltott részről
2009/5/12 Molnar Peter :
> Ez a D0nth... honnan jott?
ha elolvasod a doksit, akkor írja, hogy valamilyen módon megtudod a
helyi admin jelszavát és felhasználó nevét, D0nth3ckm3 -> helyi admin
jelszó.
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fe
Hello!
> http://blog.attackresearch.com/?q=node/2
2 dolgon akadt meg a szemem elso ranezesre:
c:\incognito>incognito sorban a kovetkezo:
-p D0nth3ckm3
Ez a D0nth... honnan jott?
Kisse hihetetlen a szamomra, hogy van egy olyan program, ami egy letezo
felhasznalo segitsegevel, akarmilyen jelszova
Kedves Techinfós kollégák!
Sokan sok mindent elmondtak már előttem de hátha tudok valami pluszt írni én is.
Általánosságban a védelem 3 szintje:
1. fizikai - nem lehet a teremben diák/idegen felügyelet nélkül
2. szoftveres intézkedések
3. kollégák és felettesek felvilágosítása - miért nem lehet e
Bálint István írta:
Ilyenkor célszerű LETILTANI minden boot-lehetőséget, kivéve a hálózatz
(PXE) és a winchester.
Akkor már hiába nyomogat gombokat, nem tud bootolni.
Ha erre jársz, szívesen megmutatom közelebbről ezt az alaplapot amiből
itt van egy egy teremnyi, megköszönném ha megmutatnád h
2009/5/12 Pirity Tamás Gábor :
"
>> Ilyenkor célszerű LETILTANI minden boot-lehetőséget, kivéve a hálózatz
>> (PXE) és a winchester.
>> Akkor már hiába nyomogat gombokat, nem tud bootolni.
>> Bálint István
>
> Próbáltad?
>
Szerintem nem próbálta, vagy nekem van szar alaplapom, mert ha kigúvad
a sz
Ha jól hiszem, Bálint István írta az alábbiakat:
> Ha a boot sorrend jól van beállítva, akkor is sok gépen elő lehet hívni
> boot menüt és még ha jelszóval is van védve általában a biosba
> valóbelépés, lehet CD-ról bootolni."
> Ilyenkor célszerű LETILTANI minden boot-lehetőséget, kivéve a hálóza
Én nem biztos hogy a hálózati boot-ot(PXE) engedélyezném, nálunk suliban
lehet laptopot behozni a diáknak(illetve ez erős így, tanárok nem
reklamálnak érte inkább azt mondanám), cross-kábellel rányomja a gépet és
máris indulhat hálózatról a live-linux, nekem is a laptopon Ubuntu rendszer
van kialak
Beszéltem az ügyet elkövető gyerekkel, fejlemények:
van egy program, incognito, úgy érzem a nevét is linket is nyugodtan
írhatom, how to attack windows domain keresésre első találat,
http://blog.attackresearch.com/?q=node/2
Ezzel lopta el az éppen bejelentkezett rendszergazda felhasználó
jogosul
Ha a boot sorrend jól van beállítva, akkor is sok gépen elő lehet hívni
boot menüt és még ha jelszóval is van védve általában a biosba
valóbelépés, lehet CD-ról bootolni."
Ilyenkor célszerű LETILTANI minden boot-lehetőséget, kivéve a hálózatz
(PXE) és a winchester.
Akkor már hiába nyomogat gomb
Hello!
> Nálunk az osztályfőnökök kifejezetten szokták fénymásolni a papíros
> naplót (azelőtt többször eltűnt egy napló, benne jó sok hiányzással),
> nyilván a digitálisról egyszerűbb és nyilván kötelező gyakran mentést
> csinálni.
Szivembol szoltal.
Tisztelettel:
Molnar Peter
http://www.petersoft
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> hatásköröm, olyan mintha a tanárit törnék fel és írnának a papiros
> naplóba, azaz úgy érzem meg kell tennem mindent hogy elkerülhető
> legyen.
Nálunk az osztályfőnökök kifejezetten szokták fénymásolni a papíros
naplót (azelőtt többször eltűnt eg
Ha jól hiszem, Takács Zoltán írta az alábbiakat:
> De a korlátozott user ezt az állományt nem tudja törölni. Ha a biosban jól
Ha linuxot indít, akkor nem korlátozott user.
> van beállítva a boot sorrend, akkor meg a linux cd-jét is ja magának...
> ;)
Ubuntu live-cd-t szerintem windowsból
Hello!
Usb kulcsos bejelentkezés: ilyesmire gondolok:
http://www.rohos.com/hu/, csak nem fizetősben... ez lenne a tökélets
védelem túlbonyolítás nélkül. (persze kikéne próbálni hogy hogyan is
működik élőben)
1. Ha az iskola minden gepen akarod, akkor mindenkinek kell usb kulcs,
raadasul mindegyi
From: "Molnár Péter"
Sent: Monday, May 11, 2009 6:39 PM
To: "Techinfo"
Subject: Re: w2k3 admin jelszo feltorese + diginaplo biztonsagi res
...
Az en velemenyem, hogy a naplot futtato gep, s adatbazis legyen
maximalisan
elzart (akar kulon virtualis gep).
Yes, (akar
Hello!
Tessek mar az a'rra is figyelni!
Ha usb-kulcsos vagy smartcardos megoldast akartok, akkor az erosen penzbe
kerul.
Raadasul smartcardos megoldas eseteben vagy viszi magaval az olvasot a
tanar, vagy csak olyan helyen tud dolgozni, ahol van ilyen olvaso.
Ismetlem, lehet a rendszert szinte a
Az USB kulcsos dolog esetleg annyiban jobb, hogyha kihúzza zárolja a gépét
is. (bár, nem tudom, hogy ez Windows alatt pendriveal megvalosithato
egyszerűen)
2009/5/11 Molnár Péter
> Hello!
>
>> Azzal a résszel, hogy tanár ott hagyja a gépet miközben bevan lépve a
>> digitális naplóba, nem foglalk
Hello!
Azzal a résszel, hogy tanár ott hagyja a gépet miközben bevan lépve a
digitális naplóba, nem foglalkozok, és persze nem bonyolítom túl a
helyzetet, azzal csak magamnak ártok :)
Miert is?
Miert a te feleloseged, hogy ne hagyja ott a gepet?
A pendrive-os megoldás egész jónak tűnik, és
Smartcardos dologgal régebben volt tapasztalatom, bár az egy kicsit más.
Esetleg ilyen irányba is el lehetne mozdulni. Ha van beléptetőrendszer az
iskolába akkor akár ugyanazt a kártyát is használhatnák hozzá.
2009/5/11 Kubanka Peter
> 2009/5/11 Molnár Péter :
> > Ha elfelejt kilepni, akkor az u
2009/5/11 Molnár Péter :
> Ha elfelejt kilepni, akkor az usb-t is elfelejti.
> :(((
> Mondom, hasznalhatatlansagig lehet novelni a biztonsagot.
Azzal a résszel, hogy tanár ott hagyja a gépet miközben bevan lépve a
digitális naplóba, nem foglalkozok, és persze nem bonyolítom túl a
helyzetet, azzal
Hello!
>Így a diák a jelszó ismeretében sem tud semmit tenni.
>Amint a tanár elhagyja a gépét viszi magával a tokent is => kilépett a
>rendszerből.
Ha elfelejt kilepni, akkor az usb-t is elfelejti.
:(((
Mondom, hasznalhatatlansagig lehet novelni a biztonsagot.
En ugyanazt modnom a digitalis naplo
Csak ötlet:
Usb tokenhez kötni a belépést a tanári gépre, vagy a digitális naplóhoz való
hozzáférést.
Így a diák a jelszó ismeretében sem tud semmit tenni. Amint a tanár elhagyja
a gépét viszi magával a tokent is => kilépett a rendszerből.
Májercsik-Sass István
2009/5/11 Molnar Peter
> Hello!
Hello!
> Erre én is gondoltam, ha nem is email, de loggolni fogom a
> belépéseket, ip cím, időpont, név. De ez max a baj utólagos
> felderítésében jó, megelőzni szeretném.
A digitalis naplo sem "veszelyesebb", mint a hagyomanyos naplo.
A hagyomanyos naploba is be tudott irni a diak jegyeket, ha meg
Hello!
> (személyszerint weblapkészítése felé mozdulok). Egyszerüsítve:
> digitális napló bevezetése előtt mi történik ha feltörik a szervert?
Ha annyira tuti biztosra akarsz menni, akkor csinalj a diginaplonak egy
virtualis szervert, mely semmilyen egyeb, a halozati eroforrasokhoz szukseges
azon
2009/5/11 Fodor Zsolt :
> Ha küld egy e-mailt a belépésről az adott tanárnak, a gyanú már csak
> felébred...
>
> Üdv: Fodor Zsolt
>
Erre én is gondoltam, ha nem is email, de loggolni fogom a
belépéseket, ip cím, időpont, név. De ez max a baj utólagos
felderítésében jó, megelőzni szeretném.
__
2009/5/11 Bálint István :
> "Ha elmondod hogy hogyan lehet windows 2003 alatt ezeket beállítani, nagyon
> szívesen megcsinálom :)"
> A levlista tartalma és hossza is korlátozott, de a lényeg, hogy egy mmc
> konzolban a szerveren beépülő modulként betöltöd az Ip biztonsági házirendek
> modult. Beáll
On Mon, 11 May 2009 15:53:06 +0200, Kubanka Peter wrote
> >
> > Nálunk a tanárok is sima userek - semmi extra joguk nincs.
> > A jegyeket webes felületen töltik fel 99,9%-ban otthonról. Vagy ha lustább,
> > akkor leadja a TO-s néninek. Szóval a diákok által is hozzáférhető gépeken
> > egyszerűen ni
>
> Nálunk a tanárok is sima userek - semmi extra joguk nincs.
> A jegyeket webes felületen töltik fel 99,9%-ban otthonról. Vagy ha lustább,
> akkor leadja a TO-s néninek. Szóval a diákok által is hozzáférhető gépeken
> egyszerűen nincs "fontos" forgalom.
Nálunk a haladási napló is digitális lesz,
Jó ötlet, komolyabb átszervezések kellenek hozzá de megcsinálom, nem
sulinetes switchet használjuk..., nyáron előre látom mennyi dolgom
lesz. Viszont felmerült bennem még egy kérdés, tantermi, a sima
tantermi gépek, amiket a tanárok óra közben használnak, diák live cd,
feltesz keyloggert, tanár je
> Na erről énis szívesen olvasnék egy kicsit részletesebben.
> Nem lehet, hogy a módszer inkább az volt, hogy local adminként bejelentkezett
> a gépre, keyloggert feltett, majd miután a tanár óvatlanságból belépett... ?
> Én inkább ilyesmivel kísérleteznék első körben. Máskülönben mi szükség a
>
]
Sent: Monday, May 11, 2009 3:03 PM
To: Techinfo
Subject: Re: w2k3 admin jelszo feltorese + diginaplo biztonsagi res
"ahogy kollégám mondani szokta mi nem egy bank vagyunk, és az én tudásom sem
akkora mint egy banki rendszergazdának,"
Ettől égnek áll a hajam! Most csak durvaságot tu
>2009/5/11 Sütő Péter :
>2. Tartományi rendszergazdai jelszót csak konzolra korlátozni. /
>Biztonsági szintek alkalmazása.
Nálam W2k szerveren megy (még) a DC, itt a felhasználó Fiók fülén
Bejelentkezési hely
De ahogy elnézem, ez eleve korlátozva van, mert nem lehet módosítani a domain
rg-nél.
"Ha elmondod hogy hogyan lehet windows 2003 alatt ezeket beállítani,
nagyon szívesen megcsinálom :)"
A levlista tartalma és hossza is korlátozott, de a lényeg, hogy egy mmc
konzolban a szerveren beépülő modulként betöltöd az Ip biztonsági
házirendek modult. Beállítod, majd a kliensgépeken is.
Me
Találjunk megoldást.
Összegezzünk:
- Helyi rendszergazda fiók feltörése nagy valószínüséggel nem
megakadályozható, néztem, F8 boot menü 2 tanteremnyi gépen megy nálunk
is, nem kikapcsolható.
CD meghajtó nem feltétlenül szükséges - kikapcsolhatnám, de az usb már
végkép nem tiltható le, mert sokszor
>>
1, Helyi admin jelszót könnyű megszerezni (emlékeim szerint egy fájlt kell
átmásolni, amit mondjuk egy linux live cd-vel meglehet tenni, abból pedig egy
bruteforce jelszótörő programmal kiszedhetőek a helyi fiókok jelszavai).
Feltörte belépett admin-ként.
<<
Bezony... Vannak olyan l
De a korlátozott user ezt az állományt nem tudja törölni. Ha a biosban
jól van beállítva a boot sorrend, akkor meg a linux cd-jét is ja
magának... ;)
Persze, csak én ahhoz szóltam hozzá, hogy már bebootolt egy live cd-ről
v. pendrive-ról.
Kis kiegészítés. a beállított boot sorrend sem nyújt t
>> A NetAcademiának/ItFactory most volt egy nagyon jó (pénzes persze) képzése
>> pont ezzel kapcsolatban.
>
> Jólenne, ha iskolai rendszergazdáknak ilyen lenne INGYEN, de az csak álom.
>
Cisco Akadémia!
Pont most kerül bevezetésre a security modul.
Bár a sulinak ez sincs ingyen.
T.S.
Egy rendesebb alaplap ekkor is kér jelszót, ha a BIOS belépéshez kér (vagy
külön állítható)
2009/5/11 Hambuch Gabor
> Takács Zoltán írta:
>
>> De a korlátozott user ezt az állományt nem tudja törölni. Ha a biosban jól
>> van beállítva a boot sorrend, akkor meg a linux cd-jét is ja magának...
Takács Zoltán írta:
Mivel alig 1 órája derült fény részleteket még nem tudok, leülök a
gyerekkel és mondom neki hogy lépésről lépésre haladva nézzük csak
meg, hogy hogyan is tette.
Helyi rendszergazda fiók feltörését már én is csináltam, igaz
régebben, 3-4 éve, egyszerű:
- fog az ember egy live
Takács Zoltán írta:
De a korlátozott user ezt az állományt nem tudja törölni. Ha a biosban
jól van beállítva a boot sorrend, akkor meg a linux cd-jét is ja
magának... ;)
Nálunk konkrétan legalább 1 teremnyi olyan gép van, ahol boot közben
f8-at nyomva kapsz egy helyi boot menüt -- függetl
> De a korlátozott user ezt az állományt nem tudja törölni. Ha a biosban jól
> van beállítva a boot sorrend, akkor meg a linux cd-jét is ja magának...
> ;)
Megvallom őszintén a lusta rendszergazdák közé tartozom, és a biosban
első a cd boot, évente 2x telepítek újra és cd-ről bootolok
általába
Mivel alig 1 órája derült fény részleteket még nem tudok, leülök a
gyerekkel és mondom neki hogy lépésről lépésre haladva nézzük csak
meg, hogy hogyan is tette.
Helyi rendszergazda fiók feltörését már én is csináltam, igaz
régebben, 3-4 éve, egyszerű:
- fog az ember egy live linux cd-t, vagy egy
2009/5/11 Bálint István :
> Több ponton nem értem a felvetésed...
> Bár mindent fel lehet törni, de azért
> 1) Hogyan szerezte meg a helyi admin jelszót (livecd stb...)? Fizikailag
> hogyan juthatott oda a szerverhez?
Nem a szerverhez, diák géphez, a tantermi diák gépen jutott hozzá
helyi adm
Kubanka Peter írta:
Mivel alig 1 órája derült fény részleteket még nem tudok, leülök a
gyerekkel és mondom neki hogy lépésről lépésre haladva nézzük csak
meg, hogy hogyan is tette.
Helyi rendszergazda fiók feltörését már én is csináltam, igaz
régebben, 3-4 éve, egyszerű:
- fog az ember egy live
2009/5/11 Molnar Peter :
> Hello!
> Ket megjegyzesem lenne:
> 1. Minden rendszer annyira biztonsagos, amennyire az admin/root/barki jelszava
> biztonsagos.
Észben tartom, rendszergazda jelszót csak én fogom tudni ezentúl,
illetve boritékban a széfben, ha valami nagy gáz lenne.
> 2. Digitalis nap
http://support.microsoft.com/kb/823659
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.as
Ezt egyszerű megcsinálni, ha nem jól van beállítva a hálózat, és LM és/vagy
NTLM titkosítással is utaznak jelszavak (a default beállítás ez!). Állítsd
be, hogy a szerver ne fogadjon el ilyen kéréseket (meg a kliens ne küldjön
ilyet), csak NTLMv2-t.
Helyi jelszót meg tök felesleges feltörni, megvál
Több ponton nem értem a felvetésed...
Bár mindent fel lehet törni, de azért
1) Hogyan szerezte meg a helyi admin jelszót (livecd stb...)? Fizikailag
hogyan juthatott oda a szerverhez?
Azért vannak a szerverekhez tartozó fizikai elhelyézésüket meghatározó
írott/íratlan alapszabályok!!!
2) Há
Hello!
Ket megjegyzesem lenne:
1. Minden rendszer annyira biztonsagos, amennyire az admin/root/barki jelszava
biztonsagos. Ez igaz a naplora is. A biztonsagot lehet fokozni a
hasznalhatatlansagig. Egeszseges egyensulyra kell torekedni. A tanar tartomanyi
rendszergezdai belepese nem tartozik ide.
2009/5/11 Sütő Péter :
> 1. Példát statuálni...
> Gondolom, a diák fegyelmi eljárás alá lett vonva...
> Anno fősulin ezért kirúgás járt, volt, aki meg is kapta.
Fegyelmi nem hiszem hogy lesz, a helyzet nem olyan, nem magyarázom,
de mondhatni jót akart, csak nem úgy sült el.
> 2. Tartományi rend
és hogyan indítja el a gyerek a cd-t vagy az usb-t?
gondolom a biosban nincs engedélyezve ilyen sorrendű bootolás...
Bár a bios jelszót se nagy dolog megszerezni... - de diák jogokkal azt se
egyszerű.
Mindenesetre kíváncsian várjuk a fejleményeket.
_
Mivel alig 1 órája derü
Mivel alig 1 órája derült fény részleteket még nem tudok, leülök a
gyerekkel és mondom neki hogy lépésről lépésre haladva nézzük csak
meg, hogy hogyan is tette.
Helyi rendszergazda fiók feltörését már én is csináltam, igaz
régebben, 3-4 éve, egyszerű:
- fog az ember egy live linux cd-t, vagy egy p
1. Példát statuálni...
Gondolom, a diák fegyelmi eljárás alá lett vonva...
Anno fősulin ezért kirúgás járt, volt, aki meg is kapta.
2. Tartományi rendszergazdai jelszót csak konzolra korlátozni. / Biztonsági
szintek alkalmazása.
A tanárnak van saját jelszava, a rendszer biztonságáért te felelsz,
Tudom, hogy macera és nálunk sem sikerült bevezetni... de a havonta
megváltoztatndó jelszó az esetek többségében egész jó lehet...
Amúgy a lényeg: retorzió.
Bár a leírtakból már az is érdekelne, hogy a diák milyen úton-modon fét
hozzá ahhoz az állományhoz, amibe a helyi rendszergazda jelszava
57 matches
Mail list logo
