Как защитить рабочую станцию от сброса пароля администратора в windows?

Question

[Руслан]

Добрый день.
Собственно сабж. Допустим есть филиалы в которых могут быть продвинутые пользователи и хотелось бы какую-то защиту от сброса пароля администратора.
Методы типа "опечатать, закрыть юсб/приводы" и т.п. не подходят. Хотелось бы грамотно решить вопрос.
Спасибо

Answer 1

[cssman]

АПМДЗ втыкать в каждый системник

Comments

[Руслан]

а вот это уже интересно :)

[Никита]

Если я правильно все нагуглил(первый раз про такую штуку услышал), то во-первых - что делать с ноутбуками, а во-вторых - это по +12к/комп получается. Для небольшой компании в 250 компов это будет около 3 млн. рублей. Дороговато выходит

[Руслан]

Никита: да, я тоже уже ознакомился, видимо не мой вариант :)

[cssman]

в ноутбуки втыкаются pci-e half size например, но вариант да не бюджетный. рассматривается, как правило, когда нужно соответствие классу защищённости

Answer 2

[Артем]

Домен. В группе локальных администраторов оставить только администратора из домена.

Comments

[Unknown312]

но ведь локального Администратора можно включить, запустив специальную утилитку вне ОС.
То есть, его отключение - не решение проблемы.

[Руслан]

Это не самый лучший вариант, оставлять только доменных администраторов. Но спасибо за совет.

[Артем]

Unknown312: не отключить, а убрать.

[Артем]

Руслан: так то да, первое что пришло в голову.

[Unknown312]

Артем: полностью убрать локального Администратора нельзя - это встроенная учетная запись и может быть только отключена с помощью GP

Answer 3

[АртемЪ]

Исключить загрузку с левого носителя, и возможность доступа к HDD.
Т.е пароль на биос, и собственно опечатывание корпуса.
Альтернатива - шифрование.

Comments

[Руслан]

Опять же, сбить пароль на биос можно за пару минут. Опечатывать корпус, ну не совсем современное решение получается :) Хочется озадачить умных пользователей.
Вот с шифрованием интересно.

[Руслан]

Артем: при загрузке с какого-нибудь hirens boot cd, утилита увидит диск размеченный, но не поймет что на нем, ибо зашифрован

[АртемЪ]

Руслан: Как именно вы умудритесь сбить пароль на биос, если доступа внутрь системника нет?
А если доступ есть - только шифрование. Это конечно потеря производительности и неудобство в работе, но если защита данных настолько важна, то это единственное решение.

Answer 4

[mace-ftl]

Зашифровать диск - это основной метод

Comments

[Руслан]

Да, думаю это верный способ, подожду еще советов.
А не ткнете в какую-нибудь статью интересную по шифрованию? Чем шифровать, нужны ли какие-то ключи, есть ли способ восстановления ОС, в случае чего?
Спасибо.

[mace-ftl]

dyskcryptor норм, а если домен - битлокер

Answer 5

[other_letter]

Если на месте нет грамотного специалиста, который будет следить - пустое это всё.
Но как делал я:
1. Пароль ни БИОС
2. Запрет грузиться с чего-либо постороннего
3. На корпус - замок и пломба
4. Нерешённая проблема - хоткей на опции загрузки иногда не отключается

Можно подумать над тем, чтобы переводить станции в режим терминалок, это вам уже виднее.

Answer 6

[Сергей]

Минимальный расклад (как писалось выше):
1. Отключение загрузки с любых носителей, кроме HDD
2. Пароль на БИОС + опечатывание корпусов.
3. Отключить локального админа. Включить можно потом с любого загрузочного диска. Пароль от БИОС вы знаете
4. Администратривные меры. То есть, пойманного с поличным наказать лишением премии или других бонусов. ИМХО самый действенный метод.
Но сначала нужно убедить руководство в необходимости этих мер. Иначе могут возникнуть проблемы, уже у вас.
Шифровать я бы не стал. Это очень большой гемморой. Возни много, есть риск потери данных. Дополнительная нагрузка на рабочие станции итд

Answer 7

[Пума Тайланд]

Обычно ставлю пароль на биос и разрешаю грузиться только с диска.

Answer 8

[younghacker]

Если есть физический доступ к компьютеру, что вы не делайте найдётся умелец.

Поставьте бездисовые linux терминалы, а пользователей загоните в терминальный сервер и делу конец.

Comments

[younghacker]

Алексей Константинов: что мешает загрузится с USB и сбросить пароль админа на локальной винде? Автор не спрашивает о защите логина в домен. Как я понял речь о сбросе пароля на самой клиенской машине, что даёт возможность поставить любой софт.
К сожалению физический доступ не исключает даже простого изъятия диска и изменения его содержимого, или чтения хеша и поиска в таблицах или брутфорса пароля.