Есть сервер Windows 2008, на котором есть локальная учетная запись пользователя с известным паролем - пусть это будет пользователь «dummy» и пароль «dummy1». Этот локальный пользователь принадлежит только к группе «Пользователи».
У злоумышленника нет локального доступа к серверу.
Может ли злоумышленник использовать сервер удаленно, если он знает имя пользователя и пароль этого локального пользователя?
Если у злоумышленника есть имя пользователя и пароль на любой system, их шансы на успешную атаку этого сервера увеличились по сравнению с атакующим, у которого нет таких данных. В этом нет ничего мифического: даже если они не могут напрямую использовать скомпрометированные учетные данные, больше информации всегда лучше, чем меньше информации.
Некоторые системы могут быть настроены более безопасным (или менее безопасным) способом, чем другие, конкретный пользователь может иметь определенные привилегии в зависимости от причины, по которой он был создан, что увеличивает или снижает риск в определенных обстоятельствах, и если пользователь связан с , скажем, базы данных, веб-приложения или другого серверного приложения, то, по крайней мере, его можно использовать для кражи информации, что, возможно, является более серьезной проблемой, чем «простое» укоренение системы ради нее, но ничего больше.
На самом деле это не зависит от операционной системы; Я бы оставил комментарии выше в точности так, как они есть, независимо от обсуждаемой ОС.
Да.
Путь к «плохим вещам» может заключаться в использовании этой учетной записи для использования любых сервисов, прослушивающих удаленно, которые не исправлены, а затем, возможно, использовать другой тип атаки для повышения до администратора. Теперь, когда у них есть админ, если есть любой служба или процесс, запущенный на компьютере с администратором домена или другими повышенными правами, они могут получить пароль этой учетной записи, а затем они станут владельцем вашей сети.
Таким образом, первое правило будет заключаться в ограничении портов / служб, к которым они могут получить доступ, а затем обеспечить ежемесячное обновление систем, включая приложения.
Если у пользователя есть права входа в систему служб терминалов (или, если это учетная запись домена, любые другие системы в домене), то злоумышленник может делать с серверами все, что ему нравится, как если бы он вошел в систему с клавиатуры, до пределов кредита безопасности этой учетной записи.
Однако мы видели так много примеров непропатченных сервисов и приложений, которые приводили к повышенным правам при атаке определенными способами (SQL-инъекция, переполнение буфера и т. Д.).
Каждая учетная запись в системе представляет собой уязвимость, и поэтому вы всегда должны внимательно следить за тем, какой у пользователей доступ, как часто они меняют пароли, насколько надежны их пароли, а также как и к чему им разрешено входить в систему. Моя политика довольно проста: «Дайте им то, что им нужно, когда они в этом нуждаются, и ничего больше». Если это означает отключение учетных записей в нерабочее время или блокировку учетных записей, пока люди в отпуске, или отключение доступа к терминалу до тех пор, пока кто-то не скажет: «Мне нужно войти в эту систему» ... пусть будет так.
Я бы предпочел, чтобы меня беспокоили законные запросы, чем не давали спать по ночам хакерские проблемы.