ビルトインのAdministratorは無効にすべき

ビルトインのAdministratorとは、OSをインストールした時に出来るAdministratorのことです。

ちなみにVistaではデフォルトで無効で、明確な理由があります。


そのままにしといて、Administratorに対して総当たりかけられたら困るのは誰でも分かります。

そこで、対処法として良くあるのがAdministratorの名前を変える。実はこれも大抵の環境で不合格。名前を変えただけではRIDが必ず500であるため、どの名前に変わったかがネットワーク経由で簡単に分かります。

正解は以下の手順。

  1. 新規ユーザを作成してAdministratorsグループに追加する
  2. Administratorを無効にする
  3. Administratorのパスワードを空文字、または長いものに設定する

これが最低限。Administratorを無効にしたって元のLMハッシュなどがSAMに残るから、3をやっとくと良いってどこかで読みました。当時はなるほどと思いましたね。

記事としては終わりなんですが、一応補足。

Q.ログオンに成功する前にユーザ名(SID)の列挙が出来るのか?

A.大抵のWindows OSのデフォルトが「(NULLセッションに対して)許可」です。

NULLセッションってのは空のユーザ名と空のパスワードでPCに接続することです。これは、Windows同士が情報を共有するために使う。逆に、NULLセッションに対してSIDの列挙を制限するとWindowsのサービスにも影響がでる。よってデフォルトが許可。

クラッカーはそこらへんを熟知しており、進入目標のアカウントを特定してきます。

# ちなみにこの記事のヒントはとある会社の方から頂きました。ネタにするのが遅くてごめんなさい。ちゃんと直してね。

Leave a Reply

最初のコメントを頂けますか?

更新通知を受け取る »
avatar
wpDiscuz