IT-шники требуют сдавать свой доменный пароль...

Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

В нашей конторе типа практика такая, что если тебе нужен новый комп, то чтобы его предварительно окучили для тебя, ты должен прислать им свои доменные credentials. Я конечно понимаю, что им нужно все настроить именно под твоим логином там, но сам способ типа просто спросить у юзера его пароль выглядит по меньшей мере странно...
Разве нет другого способа у мелкософта сделать то же самое без сдачи пароля? Как это вообще делается в "приличных" компаниях?

Я с трудом могу себе представить, чтобы в какой-нибудь, например, финансовой конторе кто-либо стал бы подставляться таким образом, предоставляя третьему лицу свой пароль в систему. Ну либо ты явно освобождаешься от ответственность за любой саботаж от твоего имени в этот период.
User avatar
thinker
Уже с Приветом
Posts: 26871
Joined: 29 Aug 2000 09:01

Re: IT-шники требуют сдавать свой доменный пароль...

Post by thinker »

В нашей компании тоже самое. Окучить комп для тебя не спросив пароль могут только когда они подключились к компу удаленно. Во всех остальных случаях (когда нужно им отдавать комп на время или когда новый комп идет на замену старого и т.п.) спрашивают пароль.
All rights reserved, all wrongs revenged.
User avatar
M. Ridcully
Уже с Приветом
Posts: 12017
Joined: 08 Sep 2006 20:07
Location: Силиконка

Re: IT-шники требуют сдавать свой доменный пароль...

Post by M. Ridcully »

Рукожопые ойтишнеги, 100%.
Абсурд кому-то свой доменный пароль сдавать.
Мир Украине. Свободу России.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Абсурд-то абсурдом, но как им это сделать по-другому?
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Slonjra »

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
M. Ridcully
Уже с Приветом
Posts: 12017
Joined: 08 Sep 2006 20:07
Location: Силиконка

Re: IT-шники требуют сдавать свой доменный пароль...

Post by M. Ridcully »

Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Мир Украине. Свободу России.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

M. Ridcully wrote: 09 Oct 2017 18:57
Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Slonjra wrote: 09 Oct 2017 18:55 странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"
Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Slonjra »

M. Ridcully wrote: 09 Oct 2017 18:57
Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
да тот же MS office 365 , его надо ставить непосредственно с акка конечного пользователя. Если ставить из под админа и потом просто регистрить на пользователя, то OneDrive for Bussines глючит ((((
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Slonjra »

Oleg-NY wrote: 09 Oct 2017 19:00
Slonjra wrote: 09 Oct 2017 18:55 странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"
Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...
что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..

если же ваш вопрос в том, что я смогу иметь доступ к вашей почте, дак при желании я и так его могу получить в любой момент )))
так что просто не имейте в корпоративной почте ничего личного и лишнего )))
Last edited by Slonjra on 09 Oct 2017 19:05, edited 1 time in total.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
M. Ridcully
Уже с Приветом
Posts: 12017
Joined: 08 Sep 2006 20:07
Location: Силиконка

Re: IT-шники требуют сдавать свой доменный пароль...

Post by M. Ridcully »

Oleg-NY wrote: 09 Oct 2017 18:59
M. Ridcully wrote: 09 Oct 2017 18:57
Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.
А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.
Мир Украине. Свободу России.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

M. Ridcully wrote: 09 Oct 2017 19:02
Oleg-NY wrote: 09 Oct 2017 18:59
M. Ridcully wrote: 09 Oct 2017 18:57
Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.
А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.
Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Slonjra wrote: 09 Oct 2017 19:02
Oleg-NY wrote: 09 Oct 2017 19:00
Slonjra wrote: 09 Oct 2017 18:55 странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"
Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...
что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..
Не понял. Разве вы не меняете пароль на временный в юзеровском действующем доменном эккаунте? Т.е. какой-то период времени кто-то еще, кроме вас знает ваш пароль и может делать что угодно от вашего имени.
User avatar
M. Ridcully
Уже с Приветом
Posts: 12017
Joined: 08 Sep 2006 20:07
Location: Силиконка

Re: IT-шники требуют сдавать свой доменный пароль...

Post by M. Ridcully »

Oleg-NY wrote: 09 Oct 2017 19:04
M. Ridcully wrote: 09 Oct 2017 19:02
Oleg-NY wrote: 09 Oct 2017 18:59
M. Ridcully wrote: 09 Oct 2017 18:57
Oleg-NY wrote: 09 Oct 2017 18:55 Абсурд-то абсурдом, но как им это сделать по-другому?
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.
А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.
Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".
То есть пойти на какой-то сайт в интранете и сгенерить токен - это пользователю нельзя?
Они у вас странные...
Мир Украине. Свободу России.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

M. Ridcully wrote: 09 Oct 2017 19:08
Oleg-NY wrote: 09 Oct 2017 19:04
M. Ridcully wrote: 09 Oct 2017 19:02
Oleg-NY wrote: 09 Oct 2017 18:59
M. Ridcully wrote: 09 Oct 2017 18:57
А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.
Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.
А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.
Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".
То есть пойти на какой-то сайт в интранете и сгенерить токен - это пользователю нельзя?
Они у вас странные...
Не то, чтобы нельзя, а просто они хотят выпустить комп из своего департамента "ready-to-use". Это как выкатить пациента на кресле-каталке за ворота госпиталя... ))
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Slonjra »

Oleg-NY wrote: 09 Oct 2017 19:07
Slonjra wrote: 09 Oct 2017 19:02
Oleg-NY wrote: 09 Oct 2017 19:00
Slonjra wrote: 09 Oct 2017 18:55 странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"
Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...
что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..
Не понял. Разве вы не меняете пароль на временный в юзеровском действующем доменном эккаунте? Т.е. какой-то период времени кто-то еще, кроме вас знает ваш пароль и может делать что угодно от вашего имени.
я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Короче, мой вопрос по сути состоял в том, что разве нельзя зайти в домен под чьим-то аккаунтом используя административный логин и пароль? Т.е. такой легальный способ администратору имперсонироваться под какого угодно пользователя, но это будет соответственно отражено в логах?
Ну или какой-то еще легальный способ обойти сдачу пароля...
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Slonjra wrote: 09 Oct 2017 19:12
я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))
Думаю все это в правильной системе будет "засвечено" в логах...
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Slonjra »

Oleg-NY wrote: 09 Oct 2017 19:21
Slonjra wrote: 09 Oct 2017 19:12
я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))
Думаю все это в правильной системе будет "засвечено" в логах...
а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Slonjra wrote: 09 Oct 2017 19:24
Oleg-NY wrote: 09 Oct 2017 19:21
Slonjra wrote: 09 Oct 2017 19:12
я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))
Думаю все это в правильной системе будет "засвечено" в логах...
а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))
Хобби это одно, а полиси это другое! ;) Понятно, что против супер-админа нет приема, кроме другого супер-супер-админа, но тут речь идет, что ты сдаешь свой пароль практически админу-технику, который врядли будет иметь возможность почистить логи...
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IT-шники требуют сдавать свой доменный пароль...

Post by zVlad »

Slonjra wrote: 09 Oct 2017 19:24
Oleg-NY wrote: 09 Oct 2017 19:21
Slonjra wrote: 09 Oct 2017 19:12
я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))
Думаю все это в правильной системе будет "засвечено" в логах...
а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))
В правильной системе кроме "админа" есть еще уровень "аудитор" со специфическими возможностями контролировать админа. Кроме того уровень админа может быть разщеплен на более специфические слои для выполнения некоторых админских работ, но без права влиять на логи.
Для секьюрити событий должен существовать безвременный способ и средства хранения. У меня, например, за больше десяти лет хранятся записи такого рода.
User avatar
Prosche
Уже с Приветом
Posts: 8090
Joined: 08 Nov 2004 12:24
Location: GA

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Prosche »

«Мне нужен ваш пароль» = «я рукожопый админ»
Зайти используя чужую учетную запись админ не может, это нонсенс и бричь в секьюрити. В правильной фирме все что надо ставится от имени админа, а когда пользователь логинится первый раз, то скриптами доставляется все, что положено его роли, софт, шары и т.п.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Oleg-NY »

Ну для нашей конторы это - недостижимый уровень... у нас сетка-то лежит по часу в день. Как говаривал Филипп Филиппович - "разруха не в клозетах, а в головах"
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: IT-шники требуют сдавать свой доменный пароль...

Post by Flash-04 »

M. Ridcully wrote:Рукожопые ойтишнеги, 100%.
Абсурд кому-то свой доменный пароль сдавать.
+100
Увольнять сразу.
Not everyone believes what I believe but my beliefs do not require them to.

Return to “Вопросы и новости IT”