Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Пользователи в Windows 2000 11.11.02 13:16
Автор: Maksim Статус: Незарегистрированный пользователь
|
Недавно обнаружил, что в Win2k WorkStation + SP2 обычный пользователь, находящийся в локальной группе пользователей, может создавать новых пользователей и удалять их (ТОЛЬКО созданных ИМ пользователей).
В локальной политике безопасности ничего подходящего не нашел.
Может быть кто-нибудь что-нибудь про это знает? и как это исправить?
|
|
Пользователи в Windows 2000 11.11.02 13:23
Автор: Grin Статус: Незарегистрированный пользователь
|
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный
> пользователь, находящийся в локальной группе пользователей,
> может создавать новых пользователей и удалять их (ТОЛЬКО
> созданных ИМ пользователей).
> В локальной политике безопасности ничего подходящего не
> нашел.
Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
|
| |
Пользователи в Windows 2000 11.11.02 13:43
Автор: Maksim Статус: Незарегистрированный пользователь
|
> > Недавно обнаружил, что в Win2k WorkStation + SP2
> обычный
> > пользователь, находящийся в локальной группе
> пользователей,
> > может создавать новых пользователей и удалять их
> (ТОЛЬКО
> > созданных ИМ пользователей).
> > В локальной политике безопасности ничего подходящего
> не
> > нашел.
> Поподробнее какая локальная группа - users. bkb power users
> что за пользователь ?
Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
|
| | |
Я конечно понимаю, хочется бездетного юзера 11.11.02 20:03
Автор: babay <Andrey Babkin> Статус: Elderman
|
тогда заставь M$ API переписать.
Что до дела, то можно зарядить под юзером софтину которая будет юзать Net API или ADSI Interface и наплодить админу 40 000 экаунтов, говорят АД ровно на столько рассчитано.
Random + ADSI, вот тебе и рецепт вирусняка на полный DOS сервера.
как раз то о чем говорили
|
| | | |
Так, внесём ясность 11.11.02 20:36
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> тогда заставь M$ API переписать.
> Что до дела, то можно зарядить под юзером софтину которая
> будет юзать Net API или ADSI Interface и наплодить админу
> 40 000 экаунтов, говорят АД ровно на столько рассчитано.
> Random + ADSI, вот тебе и рецепт вирусняка на полный DOS
> сервера.
Господа из группы Users имеют право создавать тольколокальныхUsers, поэтому вряд ли они смогут переполнить АД :) Чтобы создавать юзеров в АД нужно быть хотя бы в Account Operators
|
| | | | |
Конечно внесем, недавно обсуждалась софтина дающая права System... 11.11.02 20:54
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
|
| | | | | |
и что? 11.11.02 22:22
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | | | |
Люди, проблема в другом 12.11.02 11:45
Автор: Maksim Статус: Незарегистрированный пользователь
|
Меня не интересует, как завалить Виндуз.
Я хотел бы узнать, как запретить пользователю создавать других пользователей?
В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
|
| | | | | | | |
Люди, проблема в другом 12.11.02 13:18
Автор: _lesha_ <lesha> Статус: Member
|
> Меня не интересует, как завалить Виндуз.
> Я хотел бы узнать, как запретить пользователю создавать
> других пользователей?
> В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
накатить до сп3?
|
| | | | | | | | |
а при чем тут SP3 ? + по теме 12.11.02 16:17
Автор: babay <Andrey Babkin> Статус: Elderman
|
> > Меня не интересует, как завалить Виндуз.
> > Я хотел бы узнать, как запретить пользователю
> создавать
> > других пользователей?
> > В этом весь вопрос - вопрос жизни и смерти. Хелп ми
> плз.
> накатить до сп3?
сабж собственно, что до дела - не делал этого на обычном серваке или десктопе, ну а в домене 2000 как ZloyShaman и написал право создания создания юзера есть у Account Operators и выше, так запрети делегирование полномочий и сделай её группой с ограниченным членством.
Хотя на обычной тачке можно попробовать сделать через шаблоны безопасности саму группу юзеров как sensitive и тогда они сами в нее никого добавить не смогут, вот вроде и всё, больше пока мыслей нет.
|
| | | | | | | | | |
а при чем тут SP3 ? + по теме 12.11.02 16:53
Автор: _lesha_ <lesha> Статус: Member
|
> > накатить до сп3?
> сабж собственно, что до дела - не делал этого на обычном
обьяснюсь. попытался повторить действия инициатора треда
на вин2к сп3, как результат был послан. Тем более, что
обновить до сп3 все равно не помешает :)
|
| | | | | | | | | | |
О !!!, спасибо за инфу !, тоже попробую юзера создать 12.11.02 17:20
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
|
| | | | | | | | | | | |
Все гораздо сложнее... 13.11.02 08:09
Автор: Maksim Статус: Незарегистрированный пользователь
|
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
|
| | | | | | | | | | | | |
Все гораздо сложнее... 14.11.02 09:03
Автор: StR <Стас> Статус: Elderman
|
> Я работаю на предприятии админом, и под моим контролем
Давно работаешь???
> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.
А что, домена нету???
|
| | | | | | | | | | | | |
Бред полный 13.11.02 12:08
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Я работаю на предприятии админом, и под моим контролем
> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.
Руками конечно гемморно, но для этого и служат скрипты, полисы и прочие средства централизованного управления.
Политику настраивать не хочешь, а как хочется, чтоб нефига не делать и все работало ?
> А на счет SP3 я слышал, что он, как-будто, сам отправляет
> уведомление в MS о не лецензионном продукте через Internet.
> По этому, может существует какой-нибудь патч или что-то в
> этом роде, чтоб исправить эту дыру?
Нет там такой фигни, я сам смотрел логи на фри, нефига подобного, а отключай сервис автообновлений и никуда сама система ничего отсылать и принимать не будет. А если уж такой ужас всё это вселяет, запрети на фаерволе выход на M$ со всех тачек с виндами.
на сабж не обижайся, не сдержался :-(
|
| | | | | | | | | | | | | |
Бред полный 13.11.02 14:11
Автор: A.Galland Статус: Незарегистрированный пользователь
|
> > Я работаю на предприятии админом, и под моим контролем
> > более 300 компов и более 1000 юзверей. Так что менять
> всю
> > политику безопасности очень геморно.
>
У тебя чего в обычный воркгруп компы завязаны и ты на кождом в отдельности политику настраиваешь? AD не пробовал настроить? Чтоб язеря все свои разрешения централизованно получали ?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
