Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Через групповые политики запрети настройку TCP\IP 11.02.03 09:17 Число просмотров: 1485
Автор: StR <Стас> Статус: Elderman
|
> > И вообще, они у тебя на тачках все админы что ли?
> Каждый на своей да. И изменений пока не предвидится. Все
> решается сверху, а верхи не могут и не хотят.
попоробуй отобрать у них права на ветку
HKLM\System\CurrentControlSet(и остальные тоже)\Services\TcpIp
и оставить их только для себя и системы...
это можно сделать удаленно ;)))
|
|
<sysadmin>
|
Конфликт IP 10.02.03 11:42
Автор: VLexa Статус: Незарегистрированный пользователь
|
Ламерский вопрос, но решить не могу.
Есть сетка с динамическими IP, есть юзеры которые любят ковыряться у себя в настройках. Когда в W 2000/XP кем-то прописывается статиком IP совпадающая с карточкой сервера сетка уходит в даун. На серваке интерфейс пишет "IP кем-то используется" и ессно не работает.
|
|
Инструкция пользователю 15.02.03 15:11
Автор: W00nder Статус: Незарегистрированный пользователь
|
В данном случае скорее всего подойдут только Организационные меры, т.е. обрисуй ситуацию начальству, напиши инструкцию пользователя, с пометочкой внизу что при нанесении материального вреда предприятию к нему могут быть применены дисциплинарные или материальные меры воздействия. Дальше расценивай блокировку сервера как ущерб предприятию (простои оборудования, затраты времени на восстановление и т.д.)
Если нужен пример инструкции пиши woonder@mail.ru
|
|
Через групповые политики запрети настройку TCP\IP 10.02.03 12:11
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
И вообще, они у тебя на тачках все админы что ли?
|
| |
Через групповые политики запрети настройку TCP\IP 10.02.03 14:54
Автор: VLexa Статус: Незарегистрированный пользователь
|
> И вообще, они у тебя на тачках все админы что ли?
Каждый на своей да. И изменений пока не предвидится. Все решается сверху, а верхи не могут и не хотят.
|
| | |
Через групповые политики запрети настройку TCP\IP 11.02.03 09:17
Автор: StR <Стас> Статус: Elderman
|
> > И вообще, они у тебя на тачках все админы что ли?
> Каждый на своей да. И изменений пока не предвидится. Все
> решается сверху, а верхи не могут и не хотят.
попоробуй отобрать у них права на ветку
HKLM\System\CurrentControlSet(и остальные тоже)\Services\TcpIp
и оставить их только для себя и системы...
это можно сделать удаленно ;)))
|
| | |
Через групповые политики запрети настройку TCP\IP 10.02.03 15:31
Автор: Step <Step Alex> Статус: Member
|
> Каждый на своей да. И изменений пока не предвидится. Все
> решается сверху, а верхи не могут и не хотят.
Тода беда..... это уже политика. Пиши бумагу....типа я предупреждаю, если не прислушаетесь пиняйте на себя. Бумага дело делает. Ты должен застраховаться от нападок. А потом пускай виснет.
|
| | | |
а чем групповые политики не выход? 10.02.03 15:54
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | |
Зайдет под локальным админом и сделает что надо... 11.02.03 09:09
Автор: StR <Стас> Статус: Elderman
|
|
юзер должен быть юзером, а админ - админом... решать надо с руководством, если действительно оно мешает...
|
| | | | | |
И что это он сделает "что надо", когда локальные политики будут перекрываться доменными? 11.02.03 09:32
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | | | |
Зайдет локально под локальным админом и сделает все, что захочет... 12.02.03 16:38
Автор: StR <Стас> Статус: Elderman
|
|
|
| | | | | | | |
Я это уже читал :) А ты мой ответ - читал? 13.02.03 00:45
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | | | | | |
Так и знал, что ты спросишь :))) 13.02.03 08:35
Автор: StR <Стас> Статус: Elderman
|
|
Ты можешь войти в домен, а можешь на локальную машину, например str@domain или str@computer, так при локальном входе с админскими правами ты можешь исправить локальную политику, ip-адрес, выкинуть машину из домена и вообще сделать что угодно...
|
| | | | | | | | | |
Если знал, мог бы сразу и написать. ;) 13.02.03 09:23
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 13.02.03 09:23 Количество правок: 1
|
> Ты можешь войти в домен, а можешь на локальную машину,
> например str@domain или str@computer, так при локальном
> входе с админскими правами ты можешь исправить локальную
> политику, ip-адрес,
Политика, применяемая к компьютеру не зависит от того, под кем ты залогинишься. Если группе Администраторы (локальные) запрещено доменной политикой менять настройки ТСР!Р - значит запрещено.
>выкинуть машину из домена и вообще
> сделать что угодно...
Ну, вот это, конечно да... выкинуть-то можно... но, наверняка для работы им надо быть в домене, а сами туда вогнать машину они не смогут.
|
| | | | | | | | | | |
Сразу и написал :))) 13.02.03 19:41
Автор: StR <Стас> Статус: Elderman
|
> локальном
> > входе с админскими правами ты можешь исправить
> локальную
> Политика, применяемая к компьютеру не
> зависит от того, под кем ты залогинишься. Если группе
> Администраторы (локальные) запрещено доменной политикой
> менять настройки ТСР!Р - значит запрещено.
Я изменю локальную политику, отключусь от сети, перегружусь, зайду локально и настрою ip :)))
Хотя, конечно, если у меня хватит на это ума, то хватит и на переустановку разрешений на ветки реестра ;))
|
| | | | | | | | | | |
Как запретить исключение из домена даже для локального админа. 13.02.03 10:03
Автор: Konstantin <Konstantin Leontiev> Статус: Member
|
Есть один такой прикол, как запретить выход их домена всем (даже локальному админу) кроме тех кому положено это делать.
В групповой политике установить на службу Netlogon (Сетевой вход в систему) запуска Auto, и атрибуты безопастности
Read - EveryOne,
Start, Stop, Pause - Autnificated users, System
Write - System, Domain Admins
Delete - System, Domain Admins
Full Access - System, Domain Admins
В итоге происходит след. ситуация... Эти атрибуты безопастности прописываются в реестре по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Security - Если по какой-то причите прльзователь с локальными правами админа не сможет очистить значение этого ключа, то он никогда не сможет исключить машину из домена - это смогут сделать лишь те у кого есть право Write для данной службы, т.к при исключение из домена система в первую очередь пытается ОТ ЛИЦА ПОЛЬЗОВАТЕЛЯ сделать запись нового режима запуска этой службы, а SCM (Service Control Manager) перед этим проверяет ключ Security на предмет авторизации пользователя.
Ему при такой попытке будут писать Access Denied :)))
|
| | | | | | | | | | | |
Локальный админ на своей машине может сделать все... это аксиома... 13.02.03 19:43
Автор: StR <Стас> Статус: Elderman
|
доменный может только немного усложнить ему жизнь...
поэтому проще договариваться... или не давать юзерам локальных админов ;)))
|
| | | | | | | | | | | |
А не сможет локальный админ овладеть этой веткой и поменять разрешения на ней? 13.02.03 10:37
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | | | | | | | | | |
Против лома нет приёма 13.02.03 11:08
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 14.02.03 09:38 Количество правок: 1
|
Как было сказано ранее если юзер настолько "крут" что знает где в реестре сохраняются те или иные параметры политики, то это ужен не юзер, а очень неплохой админ. И вобще если есть физический доступ к локали системы, тем более с админскими провами, то вообще говоря мало что может спасти систему от разрушения.. В конце концов если я даже не админ а юзер, а мне надо захватить комп имея к нему локальный доступ я поступлю так:
1) Открою корпус и сброшу CMOS (ну если на BIOS пароль стоит).
2) Установлю загрузку с CD
3) Своим загрузочным CD диском с ERD Commander-ом 2002 я загружусь в консоль восстановления ERD и сменю пароль локального админа
4) Загружусь под локальным админом и сделаю с локальной системой всё что угодно.
- на это уйдёт максимум 20 минут
5) Если на комп хоть раз заходил админ домена (что очень вероятно), я установлю LC4 (@Stake L0pht-crack) и максимум через пару суток буду знать пароль админа домена.
Если конечно в реестре на всех машинах админы не поставили предусмотрительно в реестре ключ HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Если поставили я загружу какой-нибудь кластер машин на 20-30 из атлонов XP 2200 и тоже дней через 10 буду знать этот пароль.
Вывод: ПРОТИВ ЛОМА НЕТ ПРИЁМА. Соответственно бессмыслено искать абсолютную защиту рабочей станции ОТ ЛОКАЛЬНОГО проникновения - надо сделать минимум необходимых настроек для защиты и АДМИНИСТРАТИВНЫМИ МЕРАМИ И РЕГЛАМЕНТАМИ заинтересовать пользователя не делать то, что админ считает неправильным - например менять IP-адреса. :)))) как говориться под страхом смерти... Ну и естественно настроить качественную систему мониторинга всех нежелательных событий со стороны пользователя....
|
| | | | | | | | | | | | | |
Вопрос про кластер 18.02.03 08:38
Автор: Yurii <Юрий> Статус: Elderman
|
> Если поставили я загружу какой-нибудь кластер машин на
> 20-30 из атлонов XP 2200 и тоже дней через 10 буду знать
> этот пароль.
Это был бы действительно кластер или для каждой машины был бы руками прописан диапазон счета?
|
| | | | | | | | | | | | | | |
Вообще-то это офтопик... 18.02.03 09:30
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 18.02.03 09:35 Количество правок: 2
|
В данном случае никаких проблем сделать это руками нет.
Вот тот же LC4 умеет "разрезать" диапазон перебора на N частей... чтобы потом каждый из N участников считал свой кусок....
Просто я как бы занимаюсь распределёнными вычислениями и проектом MD@home и если вы загляните в ветку форума dnet, то на это тему лучше общаться там, если уж всем так интересно. А здесь это офтопик.
Больше я на вопросы про то как я мог бы вскрывать пароль сисадмина отвечать здесь не буду :) А то больно оживились все.
Могу вас уверить что в 99% случаев кластер не понадобиться.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
