web-dev-qa-db-ja.com

教師が管理者として短いタスクを実行してログインしましたが、システム全体が危険にさらされていますか?

今日は管理者としてコンピューターにログインした先生と一緒に仕事をしました。管理者権限が必要なタスクがありました。数秒後、彼は教室で他の生徒と話していましたが、lusrmgrで管理者パスワードをリセットすることができました。

  1. 教師はこれを行う権利がありましたか(それは重大な問題ですか)?
  2. 彼が正しくなかった場合、何がより良い選択肢になるでしょうか?
37
tungsten

先生はこれをする権利がありましたか?

はいといいえ。学生に管理者権限を与えることは非常に問題があり、彼らをさらに無人にしておくと言いたくなるかもしれません。そしてある程度、私もそれに同意します。新しい管理ユーザーの追加、管理者資格情報の変更、ルートキットのインストールなどを行った可能性があります。

だが...

悪意を持って行動することは、あなたに影響がないわけではありません。教師があなたに具体的に管理者権限を与えたことを思い出す可能性が高いです。この非常に特定の時間枠の中で、そのコンピュータに何かが起こった場合、学校はあなたを悪意のある人物として簡単に特定できます。

どのような影響がありますか?それはあなたが何をしたかに完全に依存します。ローカル管理者の資格情報の変更は単なるいたずらと見なすことができ、おそらくドメイン管理者が元に戻すことができます。被害はそれほど大きくありませんが、拘留される可能性があります。

たとえば、ルートキットをインストールする場合、学校は悪意のある行為を行ったと主張し、セキュリティを回避してシステムを損傷する可能性があります。これに反対して、本質的にマルウェアであるものをシステムにインストールすると、非常に困難になります。学校の財産に故意に損害を与えると考えられ、学校から追放される可能性があります。

ハードウェアに損傷を与えるように設計されたマルウェアを実行して(たとえば、仮にCPUを12 GHzにオーバークロックし、自己保存型の安全対策を無効にして)、さらに破壊的な行動をとった場合、学校はさらに損害賠償を請求する場合があります。あなたを追放します。

これは、教師が私に管理者権限を提供するのに責任がないことを意味しませんか?

いいえ。教師は、非常に具体的なタスクを実行するための管理権限をあなたに与えました。これは、技術的に実行する能力があったとしても、いかなるタスクを実行する権利も与えません。

私の友人が犬の見守りのために家の鍵を私にくれたとしても、技術的にはできても、彼の家から何かを取ったり、どこにでもカメラを設置したりすることはできません。

これは侵入テストとは見なされませんか?

「私は自分の学校のコンピューターシステムのセキュリティをテストしていました。」

いいえ、それは侵入テストではありません。侵入テストでは、システムを所有するエンティティが侵入テストに明示的に同意する必要があります。特定のタスクを実行するための管理アクセスを提供する教師は、侵入テストに明示的に同意するものではありません。

先生は他に何ができたでしょうか?

実行することになっていたタスクの長さに応じて、教師はあなたと一緒にいて、完了後に管理アクセスを取り消した可能性があります。

上記のことを考えると、教師はあなたが悪意を持って行動しないことを合理的に期待していましたが、見当違いであったようです。

179
MechMK1

教師が短いタスクを実行するために管理者としてログインしましたが、システム全体が危険にさらされていますか?

番号。

しかし、lusrmgrを使用して管理者パスワードをリセットすることができました。

おめでとうございます。犯罪行為をされました。

先生はこれを行う権利がありましたか(それは重大な問題ですか)?

あなたが実行することになっていたタスクが何であるかを述べていないので、誰もあなたにこれを伝えることができません。あなたが検証や行動の言い訳を探しているなら、いいえ、あなたはこの教師の信頼を裏切ることにしました。通常の状況では、学生を信頼することが可能であるはずであり、あなたはあなたが信頼できないことを証明しました。

彼が正しくなかった場合、何がより良い選択肢になるでしょうか?

必要がない場合は常にアクセスを許可しない方が適切ですが、必要な場合は、信頼できる人にアクセスを許可する必要があります。この先生はあなたを信頼しているようです。あなたはその信頼を裏切り、あなたはここで間違っています。会社のソフトウェアのバグを修正する必要があり、そのためのデータベースアクセスが必要な場合は、誠意をもって提供されます。データベースを破壊する、または単にパスワードを変更することにした場合、私が間違っているのは私であり、アクセスを許可した人ではありません。

あなたがハッキングしたことを私は呼ぶつもりはありませんが、ハッキングのシーンからいくつかの用語を借りたいと思います。白い帽子、灰色の帽子、黒い帽子があります。ホワイトハッカーは侵入テスト担当者であり、会社に報酬を支払っている会社にサービスを提供します。システムに侵入するのは彼らの仕事であり、彼らは見つけたパスをログに記録し、システムのセキュリティを向上させる目的で作業します。あなたはハットハッカーではありません。
グレーハットハッカーも同様のことを行いますが、会社の知識はありません。彼らは、通常のユーザーのインターフェースを使用して、エクスプロイトやセキュリティ違反を自分で見つけます。多くの場合、彼らは見つけたものを関連会社に報告し、時には彼らの発見を一般に公開すると脅迫します。彼らは依然としてユーザーを保護したいが、会社の同意を得てそれを行っていない。あなたは灰色のハッカーではありません。
ブラックハットハッカーは犯罪者であり、悪意を持ってシステムに侵入する、データを盗もうとする、または会社のシステムを破壊するのがおかしいと考えます。これらの人々はユーザーを気にせず、会社を気にせず、自分自身を気にします。もしあなたがしたことがハッキングと呼ばれることができれば、あなたはブラックハットハッカーになるでしょう。

何を成し遂げたいのか正確に考えることをお勧めします。学校のセキュリティをテストしましたか?この教師のセキュリティ慣行を公開する意図はありましたか?その場合、あなたのアプローチのためにまだ間違っていますが、キャリアとしてペネトレーションテストを読み始めるのは興味深いかもしれませんが、明らかにそれから追い出されます。あなたの意図が悪意のあるものである場合、私は大人になることを除いて何を伝えればよいのか本当にわかりません。あなたは許可されていない行動を取りました、あなたはあなたにかけられた信頼を乱用しました、そして誰かがそれを見つけたら困った人です。

25
Kevin

それは多くの要因の混合であり、2つの主な要因は信頼と責任です。

  1. 先生はその仕事をするパートナーとしてあなたに貴重な量の信頼をしました。これは例外ではありません。たとえば、コンサルティング会社(A)のスタッフは、ビジネス状況で必要な場合(エドワードスノーデンのような機密情報へのアクセスも含む)、別の会社(B)に属するサーバーの管理者権限を付与できます。ただし、通常、企業はこのような信頼関係をNDAおよび他のすべての法務スタッフと正式に結んで、悪意のある行為が発生した場合の責任を共有します。
  2. あなたの意図された責任は、仕事をすることであり、それ以上のものではありませんでした。範囲外に出ると、倫理的な問題に移動します。パスワードの変更、さらにはファイル構造のスヌーピング-これはすべて、この状況での倫理に関するものです。 「一度私を責めなさい-あなたを恥じなさい。」

タイトルの質問に戻ります。はい、何も調整していなくても、システムは危険にさらされていると見なされます。

2
Yury Schkatula

教師は別の方法で何ができましたか?

明白な答えは、教師は管理者アカウントでログインするのではなく、管理者権限で実行するために必要なものだけを実行するために、管理者権限/ユーザーアクセス管理を使用する必要があるということです。これは絶対確実なものではありません*が、正しく行われると、実行できるダメージの量が制限されます。

また、誰もがすべきすべてのことを実践する良い方法でもあります。最新のオペレーティングシステムでは、管理者アカウントでログインする必要はあまりありません。

*絶対確実ではありません:昇格された特権でコマンドラインを実行させると、かなりの損害を与える可能性があります。したがって、昇格したものを自動的に実行するのではなく、実行していることに批判的思考を適用する必要があります。

1
user3067860

あなたは本当にあなたの質問を2つの部分に分けるべきです:

私は今日、管理者としてコンピューターにログインした先生と一緒に働きました。管理者権限が必要なタスクがありました。 [削除]

  1. 先生はこれを行う権利がありましたか(それは重大な問題ですか)?
  2. 彼が正しくなかった場合、何がより良い選択肢になるでしょうか?

あなたはすでに何をすべきかについての答えを持っています(2つの可能性:彼はあなたを信頼して関連するコマンドを実行させ、もう一度、あなたをログオフすることを信頼しました;またはこれを行うのを監視します(おそらく彼があなたを信頼していなかったからではなく、十分な経験がありませんでした)。

これは...

数秒後、彼は教室で他の生徒と話していましたが、lusrmgrを使用して管理者パスワードをリセットすることができました。

言葉遣いで申し訳ありませんが、これはディックムーブです。あなたは、深刻なことを任せられるほど成熟していないことを示しました。

彼はあなたを信頼し、あなたは「賢い」者になろうとしました、そしてあなたはこれで終わりです。

自分自身に少し恥をかかせて、はっきりとお詫び申し上げます。「侵入テスト」などの理由を表に出さないでください(依頼された場合を除いて、ペネトレーションテスト)質問は、選択が悪いものであったことを示しています))

0
WoJ