Архив форумов ЦИТФорума

[000]

Есть сеть (пока одноранговая, но это пока) из машин на Win2000. У пользователей пароли пустые, они привыкли при загрузке жмакнуть "энтер" и работать дальше. Вечером мне надо получить админстративный доступ к машине, я ввожу свой логин-пароль, работаю, выключаю... но пред выключением я должен перелогиниться под юзером(с пустым паролем) и только потом выключаться. Иногда я забываю перелогиниться перед выключением, и тогда при включении компа пользователя ждёт неудача при простом постукивании по клавише "энтер", надо, блин, ещё вспомнить username, то биш как его(её) зовут, а это же непосильный труд!!!
проблему можно решить автологоном,но
Я хочу заставить пользователей завести реальные пароли, а не пустые, но это будет непросто...
Так вот вопрос: может кто знает чем конкретно грозит пустой пароль в Win2000, чем пользователей можно запугать?

[SergeyK+]

У меня были похожие ситуации (пустой пароль или пароль типа "123", локальный вход, пароли на стикерах прикрепленны к монитору и т.д). Бороться можно двумя методами:
1. Административный.
Пишешь инструкцию, подписываешь у генерального и знакомишь с ней пользователей (под роспись)
2. Силовой.
Например, запрещаешь в политиках использование паролей короче 8 символов, чтавишь принудительную смену пароля через определенный промежуток времени и т.д.
Только в этом случае я смог отвертеться от пользователей, говоря им, с умным видом, что это отменить низя и произошло из-за установки каго нить обновления на сервере.

[and3008]

Забакапить их важные файлы, а потом стереть. И на все вопли, "что случилось", отвечать, что кто-то стер файлы, пароль-то все знают!!!

Через пару дней "случайно" обнаружить резервную копию.

[000]

Спасибо!
Но у меня задача сейчас - убедить именно руководство в необходимости паролей.
Как это сделать? Хотелось бы какойто конкретный пример, когда отсутствие пароля делает возможной какую - либо атаку, как извне так и изнутри?

[000]

Да я бы так и сделал, но в том что пароль все знают обвинят меня
Вот я и ищу способ убедить руководство в необходимости паролей.

[ig]

Все правильно - запрети вход без пароля и скажи, что установил последнее обновление и теперь по-другому нельзя. Убеждать - без толку. Только закрой все возможности обойти пароль сначала, а то будешь непрофессионально выглядеть.

[ALEX_SE]

IMHO не выход, обязательно найдется какой-нить ламер на стороне который это опровергнет... А вот опасность? Легко! Если юзеры - админы то по умолчанию будут работать $-расшаренные ресурсы, в том числе и у директора. Опасно и неприемлимо. Более того нельзя узнать кто что делал или делает в случае проявления кем-либо действий направленных против компании.

[and3008]

Администратор не знает пароля пользователя.
Он назначает его и в св-вах юзверя ставит галочку "Требовать смены пароля при следующем входе в сеть".

Пароль который дал админ действует до первого входа юзверя в сеть. Дальше админ пароль не знает, да и не нужен он ему, т.к. он:
1. Имеет большие права доступа
2. Всегда может изменить пароль любой пароль.

Так что ответ на притязаная такой: "Пошли все в сад. Вы сами дураки. ТОЧКА."

И не фига плакаться. Не будешь требовать выполнения правил корпоративной политики - ничего путного не будет. А если правил нет, то это не вина админа, а вина начальства.

Начальство может быть и не в курсе, что такие правила надо издать. Так никто не мешает тебе подсказать эту мысль. Только подсказать так, чтоб это были мысли начальника, а не твои. Тогда проблемм не будет.

[hoha]

Начальству пишется бумажка, в которой излагается:
"Для
-сохранности информации
-сетевой безопасности
-разделения прав доступа
-контроля и учета
-в коммерческих интересах
- и т.д.
Необходимо...........
В противном случае....... снимаю с себя всякую ответственность........
"
Делаешь бумаженку в двух экземплярах, на подпись к начальству и одну копию к себе, потом предлагаешь написать проэкт приказа и внутреннего "устава" и вперед..... Если грамотно напишешь и какследует запугаешь они тебе и бумажку паомогут написать и зарплату увеличат.... ))

[Dmitry.Karpov http://prof]

Лично мое мнение - не надо навязывать людям решение проблем, которых у них нет. Добро, сделанное насильно, оплачивается плевками в твою сторону. В случаях типа твоего работоспособность системы важнее ее защищенности - так считает начальство, =>, так оно и есть.
Да, надо изложить на бумаге свои соображения о том, как правильно, но если начальство скажет "Не надо!" - забей и жди; вероятно, ты выйдешь на пенсию раньше, чем что-то случится.

PS: Для начала убери автозапоминание последнего вошедшего юзера, чтобы юзер был вынужден помнить хотя бы свое имя. Имя пусть напишут на мониторе.

[Plighter]

Ты знаешь, для этого существуе оценка рисков. Т.е. ты приблизительно оцениваешь риски - риск потери информации, риск изменения информации и т.д. При чем оцениваешь реально. Если изменятся данные пользователей, которые они мгут всегда восстановить - то тебе не стоит беспокоить начальство. А вот если у тебя в сети есть какие-либо ресурсы, досутпные извне, либо существует конфиденциальная информация - то смело оценивай риски и предъявляй уже обоснованное решение начальству.

[ALEX_SE]

Конфиденциальная информация... понятие растянутое. Она только тогда может быть конфиденциальна когда её собственник принял меры к её защите. Или выставил требованяи к её защите. И имеется перечень сведений составляющих коммерческую тайну. И положение по работе с этими сведениями. Тогда руки можно сказать развязаны.