> > заморозить арп? для продвинутых, конечно, не помеха, > но для > > обычных хватает. > Интересно, в арп взлетают такие финты ушами как приоритеты? > Или жесткое задание для отдельных IP? приоритетов там, конечно, нет, но можно попробовать написать
скрипт (программу), кот. будет замораживать адрес, уже после
выдачи его dhcp?
Ламерский вопрос, но решить не могу.
Есть сетка с динамическими IP, есть юзеры которые любят ковыряться у себя в настройках. Когда в W 2000/XP кем-то прописывается статиком IP совпадающая с карточкой сервера сетка уходит в даун. На серваке интерфейс пишет "IP кем-то используется" и ессно не работает.
В данном случае скорее всего подойдут только Организационные меры, т.е. обрисуй ситуацию начальству, напиши инструкцию пользователя, с пометочкой внизу что при нанесении материального вреда предприятию к нему могут быть применены дисциплинарные или материальные меры воздействия. Дальше расценивай блокировку сервера как ущерб предприятию (простои оборудования, затраты времени на восстановление и т.д.)
Если нужен пример инструкции пиши woonder@mail.ru
Через групповые политики запрети настройку TCP\IP10.02.03 12:11 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> И вообще, они у тебя на тачках все админы что ли? Каждый на своей да. И изменений пока не предвидится. Все решается сверху, а верхи не могут и не хотят.
Через групповые политики запрети настройку TCP\IP11.02.03 09:17 Автор: StR <Стас> Статус: Elderman
> > И вообще, они у тебя на тачках все админы что ли? > Каждый на своей да. И изменений пока не предвидится. Все > решается сверху, а верхи не могут и не хотят. попоробуй отобрать у них права на ветку
HKLM\System\CurrentControlSet(и остальные тоже)\Services\TcpIp
и оставить их только для себя и системы...
это можно сделать удаленно ;)))
Через групповые политики запрети настройку TCP\IP10.02.03 15:31 Автор: Step <Step Alex> Статус: Member
> Каждый на своей да. И изменений пока не предвидится. Все > решается сверху, а верхи не могут и не хотят.
Тода беда..... это уже политика. Пиши бумагу....типа я предупреждаю, если не прислушаетесь пиняйте на себя. Бумага дело делает. Ты должен застраховаться от нападок. А потом пускай виснет.
а чем групповые политики не выход?10.02.03 15:54 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Ты можешь войти в домен, а можешь на локальную машину, например str@domain или str@computer, так при локальном входе с админскими правами ты можешь исправить локальную политику, ip-адрес, выкинуть машину из домена и вообще сделать что угодно...
Если знал, мог бы сразу и написать. ;)13.02.03 09:23 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 13.02.03 09:23 Количество правок: 1
> Ты можешь войти в домен, а можешь на локальную машину, > например str@domain или str@computer, так при локальном > входе с админскими правами ты можешь исправить локальную > политику, ip-адрес, Политика, применяемая к компьютеру не зависит от того, под кем ты залогинишься. Если группе Администраторы (локальные) запрещено доменной политикой менять настройки ТСР!Р - значит запрещено.
>выкинуть машину из домена и вообще
> сделать что угодно... Ну, вот это, конечно да... выкинуть-то можно... но, наверняка для работы им надо быть в домене, а сами туда вогнать машину они не смогут.
Сразу и написал :)))13.02.03 19:41 Автор: StR <Стас> Статус: Elderman
> локальном > > входе с админскими правами ты можешь исправить > локальную > Политика, применяемая к компьютеру не > зависит от того, под кем ты залогинишься. Если группе > Администраторы (локальные) запрещено доменной политикой > менять настройки ТСР!Р - значит запрещено. Я изменю локальную политику, отключусь от сети, перегружусь, зайду локально и настрою ip :)))
Хотя, конечно, если у меня хватит на это ума, то хватит и на переустановку разрешений на ветки реестра ;))
Как запретить исключение из домена даже для локального админа.13.02.03 10:03 Автор: Konstantin <Konstantin Leontiev> Статус: Member
Есть один такой прикол, как запретить выход их домена всем (даже локальному админу) кроме тех кому положено это делать.
В групповой политике установить на службу Netlogon (Сетевой вход в систему) запуска Auto, и атрибуты безопастности
Read - EveryOne,
Start, Stop, Pause - Autnificated users, System
Write - System, Domain Admins
Delete - System, Domain Admins
Full Access - System, Domain Admins
В итоге происходит след. ситуация... Эти атрибуты безопастности прописываются в реестре по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Security - Если по какой-то причите прльзователь с локальными правами админа не сможет очистить значение этого ключа, то он никогда не сможет исключить машину из домена - это смогут сделать лишь те у кого есть право Write для данной службы, т.к при исключение из домена система в первую очередь пытается ОТ ЛИЦА ПОЛЬЗОВАТЕЛЯ сделать запись нового режима запуска этой службы, а SCM (Service Control Manager) перед этим проверяет ключ Security на предмет авторизации пользователя.
Ему при такой попытке будут писать Access Denied :)))
Локальный админ на своей машине может сделать все... это аксиома...13.02.03 19:43 Автор: StR <Стас> Статус: Elderman
Как было сказано ранее если юзер настолько "крут" что знает где в реестре сохраняются те или иные параметры политики, то это ужен не юзер, а очень неплохой админ. И вобще если есть физический доступ к локали системы, тем более с админскими провами, то вообще говоря мало что может спасти систему от разрушения.. В конце концов если я даже не админ а юзер, а мне надо захватить комп имея к нему локальный доступ я поступлю так:
1) Открою корпус и сброшу CMOS (ну если на BIOS пароль стоит).
2) Установлю загрузку с CD
3) Своим загрузочным CD диском с ERD Commander-ом 2002 я загружусь в консоль восстановления ERD и сменю пароль локального админа
4) Загружусь под локальным админом и сделаю с локальной системой всё что угодно.
- на это уйдёт максимум 20 минут
5) Если на комп хоть раз заходил админ домена (что очень вероятно), я установлю LC4 (@Stake L0pht-crack) и максимум через пару суток буду знать пароль админа домена.
Если конечно в реестре на всех машинах админы не поставили предусмотрительно в реестре ключ HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Если поставили я загружу какой-нибудь кластер машин на 20-30 из атлонов XP 2200 и тоже дней через 10 буду знать этот пароль.
Вывод: ПРОТИВ ЛОМА НЕТ ПРИЁМА. Соответственно бессмыслено искать абсолютную защиту рабочей станции ОТ ЛОКАЛЬНОГО проникновения - надо сделать минимум необходимых настроек для защиты и АДМИНИСТРАТИВНЫМИ МЕРАМИ И РЕГЛАМЕНТАМИ заинтересовать пользователя не делать то, что админ считает неправильным - например менять IP-адреса. :)))) как говориться под страхом смерти... Ну и естественно настроить качественную систему мониторинга всех нежелательных событий со стороны пользователя....
Вопрос про кластер18.02.03 08:38 Автор: Yurii <Юрий> Статус: Elderman
В данном случае никаких проблем сделать это руками нет.
Вот тот же LC4 умеет "разрезать" диапазон перебора на N частей... чтобы потом каждый из N участников считал свой кусок....
Просто я как бы занимаюсь распределёнными вычислениями и проектом MD@home и если вы загляните в ветку форума dnet, то на это тему лучше общаться там, если уж всем так интересно. А здесь это офтопик.
Больше я на вопросы про то как я мог бы вскрывать пароль сисадмина отвечать здесь не буду :) А то больно оживились все.
Могу вас уверить что в 99% случаев кластер не понадобиться.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
