Gracias !

Creo que me explicado mal:

Imagina un pc en el dominio, con un usuario de contabilidad, creado en Active Directory. Este usuario va a entrar con sus credenciales, de usuario normal del pc y usuario normal del dominio, por tanto , sin privilegios para instalar software, sin privilegios para ir a "Ejecutar" o a ms-dos (porque se lo pongo así desde una GPO) , y con una clave fuerte porque así también se lo digo desde una GPO que hay para ello.

Con esto quiero decir que si ejecuta una imagen.jpg.exe (un troyano), éste troyano tiene, por lo que entiendo, pocas posibilidades de mirar en equipos de red, de borrar ficheros, de cmbiar el registro, ya que como digo, es un usuario normal tanto del pc como del dominio.

Si consigue la clave con un keylogger, tendrá la clave de un usuario estandar del dominio.

Totalmente de acuerdo en lo del eslabón más débil, es por ello que pongo esas políticas de no poder dar al botón ejecutar o irse al símbolo del sistema ni al panel del control ni cambiar tcp/ip etc, y en consecuencua, sino estoy equivocado, el que maneje el troyano desde Rusia, tendrá estas limitaciones también, a no ser que haga escalada de privilegios, pero esto es improbable de éxito porque como indicaba, las password se guardan en la SAM sin el hsah LM, sino con NTLM o NTLv2 (éste último preferentemente).

Lo que me he quedado con la duda es de si es esnifable con Wireshark la password en fpormato NTLMv2.

Otra cosilla: Cuando dices: "El admin local de un pc tiene todos los privilegios sobre este", es lógico, pero de todas maneras no podrá hacer nada en otros pc´s del dominio , sino entiendo mal. Perdón si esto es muy básico, estoy empezando con esto y me parece que veo sólo la punta del iceberg.

Gracias de nuevo !