информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаСтрашный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неделя признаний в утечках 
 Ноябрьский перевыпуск октябрьского... 
 Закопать Flash 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
В данном случае NTFS разрешения перекрывают разрешения... 07.06.06 11:35  Число просмотров: 2481
Автор: Cyril <Sobolev Cyril> Статус: Member
Отредактировано 07.06.06 11:53  Количество правок: 1
<"чистая" ссылка>
> В домене W2k два файл серевера W2003 (Dell с
> предустановленным файл сервером).
> Досталось по наследству. История больных такова:
> Админы сделали диски Share (не X$). Поскольку они секурити
> специалисты были по совместительству, то удалили все
> _permission _ для Everyone. Разрешения (Share + NTFS
> Permission раздавали персонально) .
>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
В данном случае NTFS разрешения перекрывают разрешения Share
для подключений через сетевой ресурс
NTFS FULL + SHARE READ = READ
NTFS READ + SHARE FULL = READ

Можно дать everyone полный доступ(так по умолчанию сделано в W2k) и тогда только разрешения выставленные посредством Share будут иметь значение и определять конечный доступ

Однако если кто-то получить локальный доступ с правами пользователя (например уязвимость в сервисе запущенном от имени пользователя), то он получает полный доступ к данным (для него будут действовать только NTFS пермишены, а они по умолчанию Full) что ни есть гуд. Поэтому в расстановке ограничений посредством share и ntfs пермишенов есть свой смысл

> 2) Попытка применить стандартный секурный шаблон GPO для
> рабочих станций приводит к краху сразу после обновления
> политики на хостах. Юзеры отконекчиваются.
>
> Думаю вернуть всё взад, дав ntfspermissiomeveryone для
> всех дисков.
> Как думаете? Таблетка поможет?

>
> Спасибо.
>
> ПС. На W2k хостах, что сам взводил и ничего не ломал - всё
> Ок. Там Share создаются обычным образом.
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach