Digamos que você não queira que ninguém possa fazer login no seu perfil do Windows.
Eu gosto de salvar senhas no meu navegador da Web.
No entanto, não sou o único que tem uma conta de administrador de domínio. Alguém pode apenas redefinir a senha no AD e, em seguida, ele poderia entrar em minha máquina.
Como posso evitar isso? Existe alguma aplicação que pode forçar um login adicional ou algumas outras soluções gratuitas?
EDIT: Obrigado por suas sugestões, eu quis dizer segurança adicional, em geral, sem se concentrar demais em senhas de navegadores da web. Parece que o diretório pessoal criptografado vai resolver o meu problema.
Isso soa como um bom momento para aproveitar o EFS (Sistema de arquivos com criptografia). Todos os arquivos criptografados usando o EFS ficarão inacessíveis após a redefinição forçada da senha da conta.
Configure seu navegador para que ele armazene seu perfil em um diretório criptografado, e você está pronto.
Se você não pode confiar nos outros administradores de domínio, eles não devem ser administradores de domínio, pelo mesmo motivo que, se você não pode ser confiável, também não deve ser um.
Se alguém alterasse sua senha, isso seria registrado, a pessoa encontrada e terminada (suponho que você tenha a auditoria ativada).
Pessoalmente, eu não me preocuparia com isso, provavelmente não vai acontecer.
Se estiver preocupado com isso, siga o conselho dos outros aqui, não salve suas senhas. Se for salvo, pode ser lido eventualmente.
Se você estiver salvando senhas no Internet Explorer, as senhas serão criptografadas com sua senha de login usando Armazenamento Protegido . Se alguém alterar sua senha, ela não ganhará nada. ( link )
Se você estiver usando um navegador alternativo, provavelmente precisará verificar como esse navegador protege os dados. Por exemplo, no firefox você pode definir uma senha mestra.
A criptografia de todo o disco é provavelmente a opção mais eficaz para proteger os dados armazenados localmente.
Se você não confia em seus colegas administradores e está preocupado com o roubo de senhas, sugiro que você tenha certeza de que não há keyloggers. Seria muito mais fácil para eles simplesmente carregar um keylogger. Com um keylogger de hardware, não há praticamente nenhuma maneira de detectá-los roubando suas senhas.
Embora eu geralmente concorde com os comentários de que, se você não pode confiar em seus administradores de domínio, há algo que precisa ser corrigido em seu ambiente. Posso ver alguns bons argumentos para fornecer uma camada adicional de controle de acesso em algumas circunstâncias. .
De qualquer forma, mesmo que você esteja apenas sendo paranóico, recomendo que verifique se o seu sistema foi compilado no Trusted Platform Module e se o fornecedor fornece drivers e um conjunto de segurança para ele. Praticamente todos os PCs de classe executiva agora têm um TPM razoavelmente capaz que fornecerá armazenamento seguro de credenciais, entre outras coisas. Com uma suíte de segurança decente, isso dará a você [A] uma defesa contra administradores desonestos e [B] a capacidade de resistir a uma redefinição de senha de domínio (ao contrário do EFS). A Lenovo escreveu um artigo aqui no seu Client Security Suite que aproveita o TPM incorporado no Thinkpads para fornecer um armazenamento de credenciais protegidas por hardware e usa esse armazenamento de credenciais para proteger as chaves para um gerenciador de senhas e um disco privado criptografado. Se você instalar isso sem a integração do Active Directory, poderá usar os mecanismos de segurança do navegador ou simplesmente executar uma instalação de navegador portátil a partir do disco protegido e terá a camada de segurança adicional desejada.
Para o exemplo específico (senhas salvas em um navegador), eu recomendaria usar a senha mestra fornecida pelo Firefox. Ele criptografa o cache de senhas.
No KDE (e no Gnome), existem ferramentas como o Wallet, que também fornecem um armazenamento seguro para credenciais (por exemplo, para navegador, aplicativo de email, cliente de bate-papo etc.) usando uma senha separada. Eu acredito que algo como isto está disponível para o Windows também.
Outra forma seria criptografar seu diretório pessoal com TrueCrypt usando um arquivo contêiner que contém seu perfil e seus documentos.
Por que alguém mudaria sua senha sem avisar? Isso é algo que aconteceu no passado?
Outra opção para salvar sua senha é usar o este leitor de impressão digital UPEK para lembrá-lo. Não é grátis, mas é bem barato. Você precisará autenticar com seu dedo toda vez que quiser fazer login em seus sites salvos. Eu tenho usado isso há alguns meses sem problemas.
Tenha em mente que os leitores de impressões digitais não são impossíveis de hackear, mas isso impediria o hacker casual.