информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Пользователи в Windows 2000 11.11.02 13:23  Число просмотров: 1420
Автор: Grin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный
> пользователь, находящийся в локальной группе пользователей,
> может создавать новых пользователей и удалять их (ТОЛЬКО
> созданных ИМ пользователей).
> В локальной политике безопасности ничего подходящего не
> нашел.
Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
<sysadmin>
Пользователи в Windows 2000 11.11.02 13:16  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Недавно обнаружил, что в Win2k WorkStation + SP2 обычный пользователь, находящийся в локальной группе пользователей, может создавать новых пользователей и удалять их (ТОЛЬКО созданных ИМ пользователей).
В локальной политике безопасности ничего подходящего не нашел.

Может быть кто-нибудь что-нибудь про это знает? и как это исправить?
Пользователи в Windows 2000 11.11.02 13:23  
Автор: Grin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный
> пользователь, находящийся в локальной группе пользователей,
> может создавать новых пользователей и удалять их (ТОЛЬКО
> созданных ИМ пользователей).
> В локальной политике безопасности ничего подходящего не
> нашел.
Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
Пользователи в Windows 2000 11.11.02 13:43  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Недавно обнаружил, что в Win2k WorkStation + SP2
> обычный
> > пользователь, находящийся в локальной группе
> пользователей,
> > может создавать новых пользователей и удалять их
> (ТОЛЬКО
> > созданных ИМ пользователей).
> > В локальной политике безопасности ничего подходящего
> не
> > нашел.
> Поподробнее какая локальная группа - users. bkb power users
> что за пользователь ?
Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
Я конечно понимаю, хочется бездетного юзера 11.11.02 20:03  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
тогда заставь M$ API переписать.
Что до дела, то можно зарядить под юзером софтину которая будет юзать Net API или ADSI Interface и наплодить админу 40 000 экаунтов, говорят АД ровно на столько рассчитано.
Random + ADSI, вот тебе и рецепт вирусняка на полный DOS сервера.

как раз то о чем говорили
Так, внесём ясность 11.11.02 20:36  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> тогда заставь M$ API переписать.
> Что до дела, то можно зарядить под юзером софтину которая
> будет юзать Net API или ADSI Interface и наплодить админу
> 40 000 экаунтов, говорят АД ровно на столько рассчитано.
> Random + ADSI, вот тебе и рецепт вирусняка на полный DOS
> сервера.
Господа из группы Users имеют право создавать тольколокальныхUsers, поэтому вряд ли они смогут переполнить АД :) Чтобы создавать юзеров в АД нужно быть хотя бы в Account Operators
Конечно внесем, недавно обсуждалась софтина дающая права System... 11.11.02 20:54  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
и что? 11.11.02 22:22  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Люди, проблема в другом 12.11.02 11:45  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Меня не интересует, как завалить Виндуз.
Я хотел бы узнать, как запретить пользователю создавать других пользователей?
В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
Люди, проблема в другом 12.11.02 13:18  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> Меня не интересует, как завалить Виндуз.
> Я хотел бы узнать, как запретить пользователю создавать
> других пользователей?
> В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
накатить до сп3?
а при чем тут SP3 ? + по теме 12.11.02 16:17  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > Меня не интересует, как завалить Виндуз.
> > Я хотел бы узнать, как запретить пользователю
> создавать
> > других пользователей?
> > В этом весь вопрос - вопрос жизни и смерти. Хелп ми
> плз.
> накатить до сп3?
сабж собственно, что до дела - не делал этого на обычном серваке или десктопе, ну а в домене 2000 как ZloyShaman и написал право создания создания юзера есть у Account Operators и выше, так запрети делегирование полномочий и сделай её группой с ограниченным членством.

Хотя на обычной тачке можно попробовать сделать через шаблоны безопасности саму группу юзеров как sensitive и тогда они сами в нее никого добавить не смогут, вот вроде и всё, больше пока мыслей нет.
а при чем тут SP3 ? + по теме 12.11.02 16:53  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> > накатить до сп3?
> сабж собственно, что до дела - не делал этого на обычном
обьяснюсь. попытался повторить действия инициатора треда
на вин2к сп3, как результат был послан. Тем более, что
обновить до сп3 все равно не помешает :)
О !!!, спасибо за инфу !, тоже попробую юзера создать 12.11.02 17:20  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
Все гораздо сложнее... 13.11.02 08:09  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
Все гораздо сложнее... 14.11.02 09:03  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> Я работаю на предприятии админом, и под моим контролем
Давно работаешь???

> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.
А что, домена нету???
Бред полный 13.11.02 12:08  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Я работаю на предприятии админом, и под моим контролем
> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.

Руками конечно гемморно, но для этого и служат скрипты, полисы и прочие средства централизованного управления.
Политику настраивать не хочешь, а как хочется, чтоб нефига не делать и все работало ?

> А на счет SP3 я слышал, что он, как-будто, сам отправляет
> уведомление в MS о не лецензионном продукте через Internet.
> По этому, может существует какой-нибудь патч или что-то в
> этом роде, чтоб исправить эту дыру?

Нет там такой фигни, я сам смотрел логи на фри, нефига подобного, а отключай сервис автообновлений и никуда сама система ничего отсылать и принимать не будет. А если уж такой ужас всё это вселяет, запрети на фаерволе выход на M$ со всех тачек с виндами.

на сабж не обижайся, не сдержался :-(
Бред полный 13.11.02 14:11  
Автор: A.Galland Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Я работаю на предприятии админом, и под моим контролем
> > более 300 компов и более 1000 юзверей. Так что менять
> всю
> > политику безопасности очень геморно.
>
У тебя чего в обычный воркгруп компы завязаны и ты на кождом в отдельности политику настраиваешь? AD не пробовал настроить? Чтоб язеря все свои разрешения централизованно получали ?
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach