パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

すごいセキュリティホール……なのか?」記事へのコメント

  • そういうことでは?

    普段はドメインに入っているPCがあるとしますよね?
    こいつにドメインを経由せずに(ローカルなユーザーで)ログインする権限があるとします。出張時など、社内LANに繋げないときのために、これは必要です。

    問題はこの際に、このユーザに Administrator 相当の権限を与えてしまってから、ドメインに参加するようにする、というインストールパターンがありえる点です…つーかどっかで聞いたことのある…まぁ、ともかく。

    この「ローカルユーザー」はシステムディレクトリを変更できます。
    で、システムディレクトリを変更後、今度はドメインに参加する形でネットワー
    --
    fjの教祖様
    •  それはそれでセキュリティホールになる可能性があるのでは。

       ctrk+alt+delと違って、ソフトウェア的にタイミングを取得することが可能なショートカットだと思うので、キーロガーでAdministratorパスワードが盗まれてしまう危険があるのでは?

       この件だと、ログオン画面からの操作を行わないと権限昇格できないわけですが、それよりもAdministratorパスワードが漏れる方が危険度は高いでしょう。

       やるなら、Utilman.exeをログオン画面からは呼べなくするとかでは。
      --
      しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
      親コメント
      • ctrl+alt+delと違って、ソフトウェア的にタイミングを取得することが可能なショートカットだと思うので、キーロガーでAdministratorパスワードが盗まれてしまう危険があるのでは?


        うーむ。Utilman.exe を cmd.exe に変更できる場合、Administrator パスワードも入手済みではないかなぁ。あるいは「不要」かどちらか。
        # 違うケースもあるのだろうか?

        少なくともドメインログイン状態のときに、「ドメイン Administrator」がそのPC上でなにか操作する可能性は低そうだが…

        # あぁ、何か障害を偽装すればいいのか…その後記録を保存しておいても、
        # 普通気がつかないものなぁ。

        …いかん。なんか本当にいろいろできそうな気がするぞ。主に
        「社員が、IT部隊が持っている特権を奪取するために」(内部犯行)
        であって、一般的外部侵入者の利便性ではないけれど。
        --
        fjの教祖様
        親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...