информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Все гораздо сложнее... 13.11.02 08:09  Число просмотров: 1567
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
<sysadmin>
Пользователи в Windows 2000 11.11.02 13:16  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Недавно обнаружил, что в Win2k WorkStation + SP2 обычный пользователь, находящийся в локальной группе пользователей, может создавать новых пользователей и удалять их (ТОЛЬКО созданных ИМ пользователей).
В локальной политике безопасности ничего подходящего не нашел.

Может быть кто-нибудь что-нибудь про это знает? и как это исправить?
Пользователи в Windows 2000 11.11.02 13:23  
Автор: Grin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный
> пользователь, находящийся в локальной группе пользователей,
> может создавать новых пользователей и удалять их (ТОЛЬКО
> созданных ИМ пользователей).
> В локальной политике безопасности ничего подходящего не
> нашел.
Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
Пользователи в Windows 2000 11.11.02 13:43  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Недавно обнаружил, что в Win2k WorkStation + SP2
> обычный
> > пользователь, находящийся в локальной группе
> пользователей,
> > может создавать новых пользователей и удалять их
> (ТОЛЬКО
> > созданных ИМ пользователей).
> > В локальной политике безопасности ничего подходящего
> не
> > нашел.
> Поподробнее какая локальная группа - users. bkb power users
> что за пользователь ?
Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
Я конечно понимаю, хочется бездетного юзера 11.11.02 20:03  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
тогда заставь M$ API переписать.
Что до дела, то можно зарядить под юзером софтину которая будет юзать Net API или ADSI Interface и наплодить админу 40 000 экаунтов, говорят АД ровно на столько рассчитано.
Random + ADSI, вот тебе и рецепт вирусняка на полный DOS сервера.

как раз то о чем говорили
Так, внесём ясность 11.11.02 20:36  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> тогда заставь M$ API переписать.
> Что до дела, то можно зарядить под юзером софтину которая
> будет юзать Net API или ADSI Interface и наплодить админу
> 40 000 экаунтов, говорят АД ровно на столько рассчитано.
> Random + ADSI, вот тебе и рецепт вирусняка на полный DOS
> сервера.
Господа из группы Users имеют право создавать тольколокальныхUsers, поэтому вряд ли они смогут переполнить АД :) Чтобы создавать юзеров в АД нужно быть хотя бы в Account Operators
Конечно внесем, недавно обсуждалась софтина дающая права System... 11.11.02 20:54  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
и что? 11.11.02 22:22  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Люди, проблема в другом 12.11.02 11:45  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Меня не интересует, как завалить Виндуз.
Я хотел бы узнать, как запретить пользователю создавать других пользователей?
В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
Люди, проблема в другом 12.11.02 13:18  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> Меня не интересует, как завалить Виндуз.
> Я хотел бы узнать, как запретить пользователю создавать
> других пользователей?
> В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
накатить до сп3?
а при чем тут SP3 ? + по теме 12.11.02 16:17  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > Меня не интересует, как завалить Виндуз.
> > Я хотел бы узнать, как запретить пользователю
> создавать
> > других пользователей?
> > В этом весь вопрос - вопрос жизни и смерти. Хелп ми
> плз.
> накатить до сп3?
сабж собственно, что до дела - не делал этого на обычном серваке или десктопе, ну а в домене 2000 как ZloyShaman и написал право создания создания юзера есть у Account Operators и выше, так запрети делегирование полномочий и сделай её группой с ограниченным членством.

Хотя на обычной тачке можно попробовать сделать через шаблоны безопасности саму группу юзеров как sensitive и тогда они сами в нее никого добавить не смогут, вот вроде и всё, больше пока мыслей нет.
а при чем тут SP3 ? + по теме 12.11.02 16:53  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> > накатить до сп3?
> сабж собственно, что до дела - не делал этого на обычном
обьяснюсь. попытался повторить действия инициатора треда
на вин2к сп3, как результат был послан. Тем более, что
обновить до сп3 все равно не помешает :)
О !!!, спасибо за инфу !, тоже попробую юзера создать 12.11.02 17:20  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
Все гораздо сложнее... 13.11.02 08:09  
Автор: Maksim Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
Все гораздо сложнее... 14.11.02 09:03  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> Я работаю на предприятии админом, и под моим контролем
Давно работаешь???

> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.
А что, домена нету???
Бред полный 13.11.02 12:08  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Я работаю на предприятии админом, и под моим контролем
> более 300 компов и более 1000 юзверей. Так что менять всю
> политику безопасности очень геморно.

Руками конечно гемморно, но для этого и служат скрипты, полисы и прочие средства централизованного управления.
Политику настраивать не хочешь, а как хочется, чтоб нефига не делать и все работало ?

> А на счет SP3 я слышал, что он, как-будто, сам отправляет
> уведомление в MS о не лецензионном продукте через Internet.
> По этому, может существует какой-нибудь патч или что-то в
> этом роде, чтоб исправить эту дыру?

Нет там такой фигни, я сам смотрел логи на фри, нефига подобного, а отключай сервис автообновлений и никуда сама система ничего отсылать и принимать не будет. А если уж такой ужас всё это вселяет, запрети на фаерволе выход на M$ со всех тачек с виндами.

на сабж не обижайся, не сдержался :-(
Бред полный 13.11.02 14:11  
Автор: A.Galland Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Я работаю на предприятии админом, и под моим контролем
> > более 300 компов и более 1000 юзверей. Так что менять
> всю
> > политику безопасности очень геморно.
>
У тебя чего в обычный воркгруп компы завязаны и ты на кождом в отдельности политику настраиваешь? AD не пробовал настроить? Чтоб язеря все свои разрешения централизованно получали ?
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach