Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Alt for lang kode! Af Junior Nørd teletown.dk | 02-02-2018 07:28 | 2480 visninger | 36 svar, hop til seneste
Jeg sidder ved en arbejds pc som kræver 15 tegn for at låse skærmen op med CTRL-ALT-DEL.. Da skærmen SKAL låses hver gang man bare er væk i 1 sekund, så bliver det til mange gange om dagen den meget laaaaange kode skal indtastes..
Derfor spørger jeg nu om der findes en smart smutvej eller en måske at snyde til en kort kode?
Windows 10 --
Rug pinkode i stedet. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i #1: Der er intet at gøre som sådan. Det er firma politik, at det er sådan.. DOG kan du henvende dig til din leder og fortælle om dit problem.
Jeg har selv haft brugere som har været utilfredse med at computeren låses efter kort det. Dette kan så justeres individuelt, så tiden kan sættes op fra 1min til måske 5min.
Men igen.. det er firmapolitik, så forvent intet :) -- Hvis du omgår det krav, omgår du vel firmaets sikkerhedspolitik. Så kan de i princippet give dig en advarsel, fyre dig eller lign. -- Later equals never. #2 Ahhh, det er standard Windows slår Pinkode fra når man er på domain, men det kan nemt aktiveres igen i RegDB. Dette kan KUN gøre hvis ikke det er slået fra i GPO. Så han omgår ingen firmapolitik.
Så prøv at aktiver det og se om det ikke virker. Jeg bruger det ofte på de systemer jeg er på. Virker jo kun til oplåsning af skærm, ikke andre steder, der skal man stadig bruge den fulde. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i --
Sidst redigeret 02-02-2018 08:17 Bare ændre følgende i RegDB:
https://pastebin.com[...]
Så er pincode aktiv igen. Den omgår ikke GPO, hvis det er deaktiveret i GPO'en så virker dette ikke. Det er bare standard den slår det fra på et domain. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i --
Sidst redigeret 02-02-2018 08:24 Jeg vil helt klart fraråde dig at rode med tingene når det drejer sig om en firmamaskine.
Tag hellere en snak med de IT ansvarlige om det. -- i7 4790K|Noctua NH-D15|ASUS Z97-WS|16GB Kingston 1866mhz|2x970 ASUS STRIX|160GB Intel SSD|240GB Corsair SSD|500GB EVO SSD|3TB Seagate|750W CM #6 Hvorfor? Han omgår intet. Det er Windows som tér sig mærkeligt. Han kan ikke gøre noget han ikke må. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i --
Sidst redigeret 02-02-2018 09:22 Der er nok en grund til at der er kode på maskinerne, og omgå dette ved at ændre i RegDB er nok ikke helt firmapolitikken
Gå du hellere til din IT afdeling og hør om der er noget der kan gøres, hvis det er så stort et problem for dig -- Intel I7 6700K Skylake, MSI Z170A Krait Gaming 3X, 4x8Gb Corsair Vengeance, MSI R9 380, MSI GTX970 4Gb, Samsung 840 EVO 240Gb #0 Kan du selv bestemme den kode som du skal indtaste? For så kunne du lave koden om, så istedet for at det er en masse volapyk s)tr5L%SS7(%ASD til at blive en sætning som du hurtigt kan skrive. F.eks. HarTeleBy9Dyr?? -- Helpful? Rate it.
Solved? Post it.
Idiot? Shut up. #8: Præcis! At undgå firmapolitik er direkte fyringsgrundlag -- #8 Han omgår INTET! Læs nu hvad der står.
Hvis de igennem GPO har sagt pinkode ikke må bruges, så kan han heller ikke. Men 9/10 gange så er det bare Windows der ikke er opsat ordentlig.
#10 Og? Har ingen sagt han skal gøre. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i #11 Bare fordi du ikke synes at han omgår noget, så kan det godt være at hans IT afdeling synes at han omgår en sikkerhedspolitik de har sat og måske ikke lige være opmærksom på at få disabled via GPO fordi man kan fikse det via et regedit. -- Hvis du kan læse dette, har du tabt. #12 Han kan ikke omgå noget de ikke har taget stilling til. Så det der giver ingen mening. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i #11: Stop nu dig selv.. at begynde at ændre i regedit er jo ikke ligefrem almindelig brug af en arbejdscomputer vel? Vil du have at enhver IT afdeling skal tage hensyn til de mindste ting for at forhindre at firmaets politik ikke skal kunne omgås eller finjusteres efter brugerens personlige preferencer? Hvis brugeren vil ændre noget, så må vedkommende gå til IT afdelingen. Længere er den altså ikke.
Det er en sag for IT afdelingen og IKKE op til den enkelte bruger. Jeg bliver stik tosset når brugerne ændrer på tingene selv UDEN at spørge it afdelingen om lov først.
Et klasse eksempel er at ændre start menuen på Windows 10 til 7!
Som du så smukt selv siger:
".. det er standard Windows slår Pinkode fra når man er på domain, men det kan nemt aktiveres igen i RegDB". Der er nok en grund til at det netop ER slået fra som standard når du er medlem af et domain ;) -- #13: Stop nu med at være så påståelig. Du kender ikke #0's firmapolitik og er der tale om en fejlopsætning, som muliggør omgåelse af en evt. sikkerhedspolitik, så skader det vel næppe at sikre sig imod dette på forhånd! -- MSI G250 I | I5 7600K | 16GB @ 2400mhz | Radeon R9 295x2 |Samsung 840 EVO SSD 240GB | EVGA GQ 650 | Fractal Design Nano S --
Sidst redigeret 02-02-2018 10:04 #14 Han omgår intet. Hvis de ikke har deaktiveret det, så må det jo være fordi det må anvendes. Det er rent Windows han opsætter.
Han ændre ikke noget han ikke må.
Får ikke adgang til noget han ikke må.
De har jo aktivt taget stilling til hvad han må.
Enhver professionel IT afdeling gennemgår deres GPO når en ny version af Windows kommer.
#15 Det gør du heller ikke. Hvis politikken er at maskine skal låse aftomatisk og at koden skal have en vis længde, jamen så er det stadig sådan derefter. INTET er omgået.
Det er rent Windows selv der har slået den funktion fra pr. standard. Om det er pinkode eller farven på skrivebordet er ligemeget. Det er alm brugertilpasning.
Og de kan ikke fyre ham for det. For ingen aftale er brudt. Han går kun hvad han har fået lov til. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i --
Sidst redigeret 02-02-2018 10:16 En sjov detalje, jeg vil næsten love dig at det er slået fra for mindst en af jeres administratorer.
De værste til at overskride reglerne er os selv.
Åh ja og hvis du vil vinde over den, uden at lave aktive ændringer på din pc, så find en lille video sekvens(der ligger et par demo nogen i windows), sæt den i loop på windows mediaplayer, så får OS besked på ikke at blokkere, fordi den er i præsentationsmode,og det virker også mens den er minimeret/kørt off screen .... har jeg hørt :)
Og lad være med at lave registry ændringer, det er dårlig karma, med den firmapolitik. Plus at jeg mistænker at de allerede har låst dig ude af den mulighed. -- #16: "Enhver professionel IT afdeling gennemgår deres GPO når en ny version af Windows kommer."
... really?!.. Gu' gør de sgu da ej.. Vor herre bevares :O.
Kan godt se vi aldrig bliver enig. Eneste jeg kan og vil sige.. pas på med din holdning.. Hvis du var ansat i min virksomhed og du brød vores regler herved, så ville jeg ikke tøve 1 sekund med at få dig fyret- asap. -- Sidst redigeret 02-02-2018 10:20 #18 Fyre mig for hvad? Har intet forkert gjort.
Alle regler er overholdt. Skærmen låses stadig som før, koden er stadig lige så lang som før.
Og hvis de ikke tjekker op på GPO så siger det jo bare hvor meget om de er en professionel IT afdeling eller ej. -- 6700K|Maximus VIII Extreme|32GB RAM
Gainward1080-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
Samsung850 EVO 500GB|Corsair AX860i --
Sidst redigeret 02-02-2018 10:23 "Jeg kan" != "Det er okay jeg gør"
Hvis IT afdelingen var af den opfattelse, at det var super duper, at man opsatte pin, havde de fikset GPO, så man IKKE skulle lave RegDB "hacks" for at komme til at gøre det.
Fordi jeg kan slette en masse data på fil servere, betyder ikke, at det er helt fint, at jeg gør det. -- http://hamdentykke.dk[...]
http://onsdagssnegl.dk[...] --
Sidst redigeret 02-02-2018 10:28 Jeg kan selv vælge koden.. Men den SKAL være på 15 tegn inkl special tegn -- #SShadowS
I vores virksomhed (>1100 ansatte), hvor jeg arbejder som sys adm, kan jeg garantere dig for det vil have konsekvenser, nej vi sidder ikke og definere samtlige GPO settings der er for alt ting, så klienterne skal ende med lange login tider for at apply 10000 settings.
Vi havde krav om smart-card login, det blev senest ændret til "Windows Hello for Business" (som blandt andet kan være pin, ____MEN____ ting er altså ikke så simpelt, når det skal gøres sikkert, der er en masse krav til specifikke windows versioner (builds) / hardware (TPM 2.0) / laptop modeller / certificates, etc., der er MEGA stor forskel på en PC der bruger pin sikkert (TPM 2.0 etc) og så en random bruger der bare enabler det på en PC hvor det ikke kan implementeres sikkert.
Bare fordi det er muligt, er det ikke det samme som det er "lovligt", totalt fyrings grund her, og hvis jeg så det vil det blive reportered direkte til vedkommendes chef + relevante steder i højere oppe på ledelses niveau.
Det kan have SÅ store konsekvenser på sikkerheden/virksomhedens omdømme/pengepungen, specielt nu hvor GDPR kommer buldrende frem.
(Ikke at de vil kunne ændre det her, da ingen er lokal admin på deres PC'ere, så de kan end ikke starte regedit / ændre noget i HKLM anyway). -- Har ikke læst hele tråden igennem, så er det nævnt så sorry..
Man anskaffe sig en fingerscanner og låse sig op den vej. -- "Hvis man ikke har laast en doer maa man saa ogsaa gaa ind ot tage ting ? fordi de har jo ikke laast den saa maa det jo vare fordi man maa gaa ind og tage ting.
eller fortaller det jo rimelig meget om dem der bor der."
Logik... -- Sven Bent - Dr. Diagnostic
www.TechCenter.[...] - Home of Project Mercury Har ikke lige overskud til at læse samtlige kommentarer, men er der blevet nævnt hvorvidt man må lave sådan en USB nøgle til at logge ind med? Hvis ikke den befinder sig i pcen, kan man ikke logge ind. Og så er koden vel underordnet -- Carpe Diem. Hvis din arbejdsplads har sådan en skrap IT-politik, så syntes jeg at du skal vende den med de IT folkene i den :) -- loveandmusic #0 Var på en arbejdsplads på et tidspunkt, hvor koden også skulle være ret lang ,og overholde alverdens underlige regler (nej ikke kun indeholde stort, småt, tal og specialtegn). Endnu værre så skulle koden også ændres hver 3. uge.
Jeg endte med at købe en lille trådløs stregkodescanner til computeren, og hver gang jeg skiftede adgangskode, printede jeg en ny label med stregkoden.
Stregkoden havde jeg på bagsiden af mit ID kort, som jeg altid bar på mig. -- #19 Hvordan kan du være overbevist om, at firmaet ikke har en politik om, hvor langt brugernes password skal være? -- Skriver du meget langsomt siden 15 tegn er et problem? Husker du dårligt?
Bruger selv 15 tegn eller mere til vigtige kodeord.
Du kunne jo spørge jeres IT-afdeling om du ikke kan få lov til at bruge fingeraftryk i stedet. Forstår ikke at det ikke allerede er blevet foreslået i tråden som noget af det første, men at snyde og omgå firmapolitikken er... -- #27, så et øjebliks uopmærksomhed og en hacker har dit password. Stregkoden kan dekodes ud fra et billede taget fra en mobil eksempelvis. I min optik dumt at gå rundt og flash sit password til hver og alle :)
#0, tag en snak med IT-afdelingen. Jeg ville ikke begynde at fifle rundt, hvis jeg var glad for jobbet. Kan i værste tilfælde betyde fyring - ikke kun fordi du omgår politikken, men at din metode bliver kompromitteret og misbrugt.
Jeg formoder at der ikke er lokal administrator rettigheder på maskinen og derfor ingen regedit/gpedit. Hvis der ikke er Bitlocker på, kan du forholdsvist let med fysisk adgang eskalere din bruger til lokal administrator. Det virker i alle Windows versioner jeg er bekendt med og virker hver gang. -- Sidst redigeret 03-02-2018 14:39 kan du forholdsvist let med fysisk adgang eskalere din bruger til lokal administrator.
Hvor stor kan en løftet pegefinger blive? -- Gæstebruger, opret dit eget login og få din egen signatur. #31 nu render man jo normalt ikke rundt og flasher bagsiden af sit id kort, så jeg kan ikke se problemet.
Det som langt oftere sker når virksomheder har en streng politik ift. agdangskoder er at mange medarbejdere har koden stående på en seddel under tastaturet, eller i øverste skuffe.
Så en adgangskode i stregkodeformat på bagsiden af et id kort er vidst ikke it afdelingens store problem.
Jeg vil dog godt gå med til at der er nuancer, nu arbejdede jeg med papir, men hvis man arbejdede med våbenproduktion var verden nok lidt mere sort/hvid. -- Synes det er lettere komisk, at der er en person i denne tråd, der så hårdnakket holder på hvad der kan og ikke kan få #0 fyret, uden at være en del af hans virksomhed.... Grinern. -- #33, jeg ville anse det for et problem og bede dig pænt fjerne den i første omgang ;) I min optik er det dumt, der skal kun et enkelt uopmærksomheds øjeblik til og uvedkommende har dit login.
#34, folk der arbejder med det til daglig på den anden side af bordet (sysadmin), giver sit besyv med, for at synligøre den konsekvens det kan have. Ser jeg nu ikke noget problem i. Hellere male fanden på væggen, end at #0 står uden job fordi han dummer sig ;) -- Sidst redigeret 03-02-2018 15:17 Det bedste eksempel er Sven Bents eksempel.
Det siger alt.
SShadowS er på meget dybt vand.
Nu sidder jeg selv med blandt andet Company- og IT Policies samt IT Handbook og nu også GDPR.
En politik definerer retningslinierne for hvad ejerpart vil have brugerpart skal følge. Hvordan det teknisk er løst er ejer- og brugerpart ligegyldig. Det samme i juraen. Om computeren er rød eller blå er underordnet - det er din handling der er afgørende. Du må benytte, men hvis du udnytter(hvis noget er ikke- eller fejlkonfiguret), omgår, benytter social engineering etc. for at opnå noget for egen eller 3. part vindings skyld (slippe for at bruge en lang kode), så overtræder du den angivne IT policy om 15 char. Jeg går her ud fra at policien definerer 15 char, for hvorfor skulle der ellers i Active Directory kræves 15 char på domain accounts. Microsoft Best Pracices på AD accounts er desuden 15 char, 3 ud af 4 grupper (A-Z, a-z, 0-9, !-?).
Tag og ret ind. Det gør alle andre. -- Gæstebruger, opret dit eget login og få din egen signatur.
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 424 personer har stemt - Mit energiselskab (Ewii f.eks) 11%
|