SoloCodigo

1- Privilegios de usuario normal en el dominio
2- Privilegios de usuario normal en la maquina
3- Tener una buena contraseña de de administrador, alfanumerica con mayusculas minusculas y con caracteres especiales.
4- Eliminar cualquier usuario con privilegios de administrador que este en la maquina local (esto es lo mas usual, ante un descuido crean un usuario administrador usualmente con un nombre que despiste y que haga pensar que es un usuario del sistema)
5- Se pude configurar un archivo .bat que envie una alerta cada vez que un usuario se loguee con la cuenta de administrador para supervisar cuando lohace y como consigue la contraseña.

Actualmente WXP maneja encripcion kerberos de 128 bits para autenticación asi que la unica forma de que la persona se este logueando es queten ga la contraseña de un usuario administrador de dominio o más seguramente de un administrador local.

   

Gracias por la respuesta, los 3 primeros puntos no hay problema son factibles el punto 4 no sabia que la maquina se podia quedar sin usuarios adminstradores, lo que no se es como se le crearia de nuevo, en cuanto al punto 5 no tienes mas información al respecto, y bueno lo malo es que muchos de los S.O todavia son Windows 2000 ...

el único usuario que deberias tener como administrador es en efecto el usuario administrador, pero en la máquina local en el grupo  de usuarios administradores no debería haber sino este: administrador.

En Windows 2000 la encripción es de 128 bits también, en las primeras releasse hubo problemas con eso , pero luego quedo corregido así que asegurate de que tienes montados todos los service pack.

el punto 5:

la opcion realmente mas optima es:

inicio-> ejecutar gpedit.msc

alli vas a :

Configuracion del equipo -> Configuracion de windows -> Configuracion de seguridad-> Directivas locales -> directiva de audittoria..

estos registros de auditoria te dejan un record en el visor de sucesos del sistema.


tambien peudes mirar otras alternativas entre ellas:

Configuracion de usuario-> Configuracion de Windows -> Secuencia de comandos donde puedes incluir crear un log de manera manual o llamar a los programas que requieras para tal fin.


alli hay muchas opciones, ten cuidado con lo que haces.

Asi funciona Ubuntu, root no tiene password y por eso no puedes "logear" como root.

Windows puede hacer eso?

Para desactivar el inicio de sesion como administrador:

Configuracion del equipo -> Configuracion de windows -> Configuracion de seguridad-> Directivas locales -> Asignación de derechos de usuario

allí en la opción de inicio de sesión local se deshabilita la cuenta de administrador o bien el grupo de administradores, para restablecerlo, en caso de requerirse, se debe loguear con otro usuario administrador local y sino hay ninguno entonces debe hacerse con un administrador de dominio.-


para deshabilitar la cuenta de administrador:

click derecho en mi pc, administrar, usuarios locales y grupos, usuarios  seleccionar administrador y alli marcar cuenta deshabilitada


En windows vista la cuenta de administrador esta por defecto deshabilitada.

   


No sabia nada de eso, gracias por las respuestas...

allí en la opción de inicio de sesión local se deshabilita la cuenta de administrador o bien el grupo de administradores, para restablecerlo, en caso de requerirse, se debe loguear con otro usuario administrador local y sino hay ninguno entonces debe hacerse con un administrador de dominio.-


para deshabilitar la cuenta de administrador:

click derecho en mi pc, administrar, usuarios locales y grupos, usuarios seleccionar administrador y alli marcar cuenta deshabilitada


En windows vista la cuenta de administrador esta por defecto deshabilitada.

Yo no hablo de "tumbar" al administrador.

Varas, en /etc/shadow hay algo ocmo esto:


Entonces si yo quito el "$1$hashcifradoenMD5" y pongo un "!" root aun existe pero nadie puede usarlo como usuario del sistema (solo el sistema en si, para ejecutar init por ejemplo)

Citar

allí en la opción de inicio de sesión local se deshabilita la cuenta de administrador o bien el grupo de administradores, para restablecerlo, en caso de requerirse, se debe loguear con otro usuario administrador local y sino hay ninguno entonces debe hacerse con un administrador de dominio.-


para deshabilitar la cuenta de administrador:

click derecho en mi pc, administrar, usuarios locales y grupos, usuarios seleccionar administrador y alli marcar cuenta deshabilitada


En windows vista la cuenta de administrador esta por defecto deshabilitada.

Yo no hablo de "tumbar" al administrador.

Varas, en /etc/shadow hay algo ocmo esto:

Código: Text

1. root:$1$hashcifradoenMD5:0:9999:7:::
2.  

Entonces si yo quito el "$1$hashcifradoenMD5" y pongo un "!" root aun existe pero nadie puede usarlo como usuario del sistema (solo el sistema en si, para ejecutar init por ejemplo)

bueno es que a diferencia de UNIX* windows tiene un usuario diferente de root para esas tarea y es el usuario System hasta donde recuerdo.

Yo tampoco hablo de tumbar el administrador, igual el administrador sigue y en el caso de no dejarlo iniciar sesión local se puede seguir usando para acceso remoto por terminal server a menos de que eso también se deshabilite, de igual forma al  estar deshabilitado para el inicio de sesión no deniega la ejecución de comandos con privilegios de administrador de manera muy parecida a usar la instrucción

sudo

 

Citar

allí en la opción de inicio de sesión local se deshabilita la cuenta de administrador o bien el grupo de administradores, para restablecerlo, en caso de requerirse, se debe loguear con otro usuario administrador local y sino hay ninguno entonces debe hacerse con un administrador de dominio.-


para deshabilitar la cuenta de administrador:

click derecho en mi pc, administrar, usuarios locales y grupos, usuarios seleccionar administrador y alli marcar cuenta deshabilitada


En windows vista la cuenta de administrador esta por defecto deshabilitada.

Yo no hablo de "tumbar" al administrador.

Varas, en /etc/shadow hay algo ocmo esto:

Código: Text

1. root:$1$hashcifradoenMD5:0:9999:7:::
2.  

Entonces si yo quito el "$1$hashcifradoenMD5" y pongo un "!" root aun existe pero nadie puede usarlo como usuario del sistema (solo el sistema en si, para ejecutar init por ejemplo)

Y si existe algún problema que se deba arreglar con el root, por ejemplo en un Debian como lo solucionaria, si ya no puedo entrar como este.

Ok, pero en todos los Unix-like no puedes ejecutar cosas como root, solo lo puede hacer init o el kernel mismo antes de entrar en modo usuario a no ser que se use cron (como sabras en UNIX hay mas de un modo, normalemnte son 6 y unos 3 que se usan).

Ok, opero en Windows tampoco te puedes loguear ni ejecutar algo como system, salvo los procesos lanzados por el propio system para levantar el sistema.