Καταγραφή, τεκμηρίωση, διαδικασίες … όλα μέρος ενος επιτυχημένου project, μερικά μέρος σε προσωπικά project και καθημερινές διαδικασίες. Κανένα απο αυτά μέρος όμως σε δευτερεύουσες εγκαταστάσεις (2ο pc, δεκάδες virtual machines που βόσκουν σε διάφορα στάδια της ύπαρξης τους δεξιά και αριστερά). Για αυτά υπάρχουν ‘άλλες’ διαδικασίες (παλιά γνωστά throw away passwords τα οποία δεν με νοιάζει και να σπάσουν ή να είναι γνωστά). Ωραία μεχρι εδω ε? Ναι μέχρι για άλλη μια φορά να ανακαλύψω ότι έχω ξεχάσει το password και πρέπει να μπουκάρω στο pc ή virtual machine! Π.χ. γιατί αυτή τη φορά έπαιζα με pass phrase και βεβαίως … το ξέχασα (κάπως έτσι καταλήγουμε στα sticky notes!)

Ο λόγος που το ξέχασα είναι ότι το συγκεκριμένο virtual machine δεν έκανε ποτέ logoff ή shutdown παρα μόνο suspend. Μέχρι που έσκασε ο host (το primary pc) και αναγκαστικά έκανε restart και το virtual machine. Περίπου στην 30η προσπάθεια κατάλαβα ότι δεν πρόκειται με τίποτα να θυμηθώ το pass phrase που είχα βάλει στον windows 2008 domain controller (τον ένα και μοναδικό του virtual forest). Είχα δηλαδή χάσει το password του ενός χρήστη που είχα φτάξει με administrative privileges στο domain. Και το έκανα σε terra incognita στο τομέα αυτό, τα windows 2008.

Μια απο τις πρώτες μου προσπάθειες (όχι η πρώτη, αυτή ατύχησε, αλλά καλώς ατύχησε γιατί ήταν απλά ένα εργαλείο ακόμα, ένα black box πράμα χωρίς ευελιξία) ήταν ένα παλιό, πολύ καλό άρθρο το Forgot the Administrator's Password? - Reset Domain Admin Password in Windows Server 2003 AD. Μόνο που όπως λέει ο τίτλος και όπως θυμόμουν ήταν για 2003 active directory. Ελπιζα να πάρω κάποιες ιδέες μέχρι που είδα ότι σύμφωνα με αναφορές δουλεύει και για 2008! Οπως λέει το άρθρο το πρώτο πράγμα που χρειάζεται είναι το local administrator's password (ουσιαστικά ο local administrator όταν το directory είναι offline σε Directory Services Restore Mode). Και υπάρχουν βέβαια οδηγίες και για την ανάκτηση αυτού του password με μια απο αυτές να αναφέρεται ότι δουλεύει για Vista (άρα και πιθανα για 2008).

Πρώτο μέλημα να δω αν τουλάχιστο μπαίνω σε Directory Services Restore Mode. Restart, F8

και να το πρώτο θετικό, το password αυτό (του local administrator όταν το directory είναι offline) το θυμόμουν. Αλλά αμέσως έσκασε η 2η αμέλεια μου, δεν είχα ποτέ κάνει activation σε αυτό το λειτουργικό (σύννεφα και κεραυνοί εδώ!)

Αρα για να επανακτήσω το domain password έπρεπε να μπω σε Restore Mode και για να μπω σε Restore Mode έπρεπε να κάνω logon στο domain με το password που δεν είχα ώστε να κάνω activation ! ! ! Ευτυχώς που όλα αυτά μου συμβαίνουν με πολυτέλεια χρόνου και σε ένα απο τα πειραματόζωα – machines :-)

Κάπου εδώ θυμήθηκα μια τεχνική ομοιοπαθών απο Vista (το original release, με το SP1 τα πράγματα έφτιαξαν) τα οποία σε πέταγαν εντελώς έξω με την λήξη της περιόδου αναμονής του activation. Εντελώς … εκτός απο το τελευταίο γαλατικό χωριό που αντιστέκεται … και το οποίο είναι το link σε αυτό το επαχθές dialog box! Πατώντας το link μας πάει στο help (α, εφαρμογή!). Ενα οποιοδήποτε hyperlink απο το help μας οδηγεί στον Internet explorer, εκεί στην γραμμή διευθύνσεων δίνουμε c:\ και να ο explorer. c:\windows\system32\cmd.exe = administrative command prompt = game over!

Πλέον ακολούθησα τις εντολές του άρθρου κατά γράμμα και χειροκίνητα (το zip που δίνει σαν download είναι χρήσιμο για τα εκτελέσιμα που χρειάζονται, αλλά δεν δούλεψαν καλά τα scripts). Για την εκκίνηση οποιουδήποτε GUI tool αρκεί το command prompt (όπως φαίνεται στο ακόλουθο screenshot)

Στο επόμενο restart έκανα logon στο domain με το ολοκαίνουργιο password του domain administrator! Και δεν αμέλησα τα τελευταία βήματα του άρθρου στο στάδιο αυτό (ένα μικρό cleanup). Μετά είχα την ‘ευχαρίστηση’ να αρχίσω τον τσακωμό με το activation process (αυτό είναι υλικό για επόμενο άρθρο).

Σκέψεις:

Αυτό ήταν κάτι σαν worst case scenario, αλλά τα βήματα του στέκουν και μεμομονωμένα π.χ. που είναι και πιθανό, αν απλά έχει απωλεσθεί το password τότε δεν υπάρχουν εξτρα περιπλοκές.

Για να μη ξεχνιόμαστε, όλα αυτά και όλα τα άλλα εργαλεία - τεχνικές που κυκλοφορούν είναι α) για πειραματική χρήση β) για νόμιμη – εγκεκριμένη χρήση. Είναι πολύ λεπτή η γραμμή που χωρίζει αυτά απο ενέργειες που μπορούν να επιφέρουν βαρύτατες κυρώσεις. Η ίδια γραμμή πάντα χωρίζει ‘εμάς’ (μας βάζω όλους!) στους οποίους ανατίθεται μια ευθύνη, η διατήρηση και διαφύλαξη μιας πληροφορίας, το system administration και η system – πυρόσβεση απο καιρού εις καιρόν με … την άλλη μεριά.

Επίσης τα παραπάνω, επ’ ουδενεί λόγo δεν σημαίνουν ότι οποιοδήποτε λειτουργικό είναι ‘broken’. Οποιοδήποτε λειτουργικό το χειριστεί κάποιος με physical access είναι ευάλωτο. Οποιοδήποτε!

Συγγνώμη αν αυτά σίγουρα σε πολλούς (και δίκαια) ακούγονται κοινοτοπίες ή και υπερβολικές συντομεύσεις ενος τεράστιου θέματος! Ελπίζω κάπου να αποτελέσουν απλά ερείσματα για περεταίρω ψάξιμο.

Εδω ακούσαμε στη Teched τον ίδιο το Steve Riley να λέει ότι πρότεινε σε τράπεζα, να κλείσει τους περιφερειακούς (σε καταστήματα) 2003 domain controllers … σε σιδερένια κλουβιά! Για προστασία απο μη επιτρεπτό physical access αλλά και απο κλοπή που θα οδηγούσε σε αυτό.

Βέβαια, εδώ μπαίνει και μία απλή ανάλυση ρίσκου. Αν έχουμε πιο πολλούς domain administrator απο χρήστες, τότε ο κίνδυνος για ‘κακό’ access και ‘ατυχήματα’ μπορεί και να υπερκαλύπτει το κίνδυνο κάποιος να μπουκάρει και να κάνει κακά πράγματα με ένα απροστάτευτο domain controller. Νόμιζα ότι έχω δει τα ρεκόρ εντόπια, μέχρι που άκουσα και πάλι απο τον Riley για domain με 200 domain adminstrators!

Και για το τέλος, όλα τα παραπάνω δεν θα ήταν δυνατά αν στα windows 2008 είχα εφαρμόσει bitlocker (δηλαδή full volume encryption). Αν το είχα κάνει και δεν είχα σώσει κάπου το recovery key … θα το είχα χαιρετήσει το domain. Αλλά ούτε και το full disk encryption είναι απυρόβλητο πλέον γιατί υπάρχουν τεχνικές ανάκτησης των κλειδιών απο τη μνήμη ενός σβηστού υπολογιστή! Physical access rules (και ναι υπάρχουν αντίμετρα … και μετά αντίμετρα για τα αντίμετρα). Η απόλυτη ασφάλεια είναι αδύνατη, η πραγματική real – world ασφάλεια είναι δυνατή και μάλιστα σήμερα πιο πολύ απο ποτέ.