Ламерский вопрос, но решить не могу.
Есть сетка с динамическими IP, есть юзеры которые любят ковыряться у себя в настройках. Когда в W 2000/XP кем-то прописывается статиком IP совпадающая с карточкой сервера сетка уходит в даун. На серваке интерфейс пишет "IP кем-то используется" и ессно не работает.
В данном случае скорее всего подойдут только Организационные меры, т.е. обрисуй ситуацию начальству, напиши инструкцию пользователя, с пометочкой внизу что при нанесении материального вреда предприятию к нему могут быть применены дисциплинарные или материальные меры воздействия. Дальше расценивай блокировку сервера как ущерб предприятию (простои оборудования, затраты времени на восстановление и т.д.)
Если нужен пример инструкции пиши woonder@mail.ru
Через групповые политики запрети настройку TCP\IP10.02.03 12:11 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> И вообще, они у тебя на тачках все админы что ли? Каждый на своей да. И изменений пока не предвидится. Все решается сверху, а верхи не могут и не хотят.
Через групповые политики запрети настройку TCP\IP11.02.03 09:17 Автор: StR <Стас> Статус: Elderman
> > И вообще, они у тебя на тачках все админы что ли? > Каждый на своей да. И изменений пока не предвидится. Все > решается сверху, а верхи не могут и не хотят. попоробуй отобрать у них права на ветку
HKLM\System\CurrentControlSet(и остальные тоже)\Services\TcpIp
и оставить их только для себя и системы...
это можно сделать удаленно ;)))
Через групповые политики запрети настройку TCP\IP10.02.03 15:31 Автор: Step <Step Alex> Статус: Member
> Каждый на своей да. И изменений пока не предвидится. Все > решается сверху, а верхи не могут и не хотят.
Тода беда..... это уже политика. Пиши бумагу....типа я предупреждаю, если не прислушаетесь пиняйте на себя. Бумага дело делает. Ты должен застраховаться от нападок. А потом пускай виснет.
а чем групповые политики не выход?10.02.03 15:54 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Ты можешь войти в домен, а можешь на локальную машину, например str@domain или str@computer, так при локальном входе с админскими правами ты можешь исправить локальную политику, ip-адрес, выкинуть машину из домена и вообще сделать что угодно...
Если знал, мог бы сразу и написать. ;)13.02.03 09:23 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 13.02.03 09:23 Количество правок: 1
> Ты можешь войти в домен, а можешь на локальную машину, > например str@domain или str@computer, так при локальном > входе с админскими правами ты можешь исправить локальную > политику, ip-адрес, Политика, применяемая к компьютеру не зависит от того, под кем ты залогинишься. Если группе Администраторы (локальные) запрещено доменной политикой менять настройки ТСР!Р - значит запрещено.
>выкинуть машину из домена и вообще
> сделать что угодно... Ну, вот это, конечно да... выкинуть-то можно... но, наверняка для работы им надо быть в домене, а сами туда вогнать машину они не смогут.
Сразу и написал :)))13.02.03 19:41 Автор: StR <Стас> Статус: Elderman
> локальном > > входе с админскими правами ты можешь исправить > локальную > Политика, применяемая к компьютеру не > зависит от того, под кем ты залогинишься. Если группе > Администраторы (локальные) запрещено доменной политикой > менять настройки ТСР!Р - значит запрещено. Я изменю локальную политику, отключусь от сети, перегружусь, зайду локально и настрою ip :)))
Хотя, конечно, если у меня хватит на это ума, то хватит и на переустановку разрешений на ветки реестра ;))
Как запретить исключение из домена даже для локального админа.13.02.03 10:03 Автор: Konstantin <Konstantin Leontiev> Статус: Member
Есть один такой прикол, как запретить выход их домена всем (даже локальному админу) кроме тех кому положено это делать.
В групповой политике установить на службу Netlogon (Сетевой вход в систему) запуска Auto, и атрибуты безопастности
Read - EveryOne,
Start, Stop, Pause - Autnificated users, System
Write - System, Domain Admins
Delete - System, Domain Admins
Full Access - System, Domain Admins
В итоге происходит след. ситуация... Эти атрибуты безопастности прописываются в реестре по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Security - Если по какой-то причите прльзователь с локальными правами админа не сможет очистить значение этого ключа, то он никогда не сможет исключить машину из домена - это смогут сделать лишь те у кого есть право Write для данной службы, т.к при исключение из домена система в первую очередь пытается ОТ ЛИЦА ПОЛЬЗОВАТЕЛЯ сделать запись нового режима запуска этой службы, а SCM (Service Control Manager) перед этим проверяет ключ Security на предмет авторизации пользователя.
Ему при такой попытке будут писать Access Denied :)))
Локальный админ на своей машине может сделать все... это аксиома...13.02.03 19:43 Автор: StR <Стас> Статус: Elderman
Как было сказано ранее если юзер настолько "крут" что знает где в реестре сохраняются те или иные параметры политики, то это ужен не юзер, а очень неплохой админ. И вобще если есть физический доступ к локали системы, тем более с админскими провами, то вообще говоря мало что может спасти систему от разрушения.. В конце концов если я даже не админ а юзер, а мне надо захватить комп имея к нему локальный доступ я поступлю так:
1) Открою корпус и сброшу CMOS (ну если на BIOS пароль стоит).
2) Установлю загрузку с CD
3) Своим загрузочным CD диском с ERD Commander-ом 2002 я загружусь в консоль восстановления ERD и сменю пароль локального админа
4) Загружусь под локальным админом и сделаю с локальной системой всё что угодно.
- на это уйдёт максимум 20 минут
5) Если на комп хоть раз заходил админ домена (что очень вероятно), я установлю LC4 (@Stake L0pht-crack) и максимум через пару суток буду знать пароль админа домена.
Если конечно в реестре на всех машинах админы не поставили предусмотрительно в реестре ключ HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Если поставили я загружу какой-нибудь кластер машин на 20-30 из атлонов XP 2200 и тоже дней через 10 буду знать этот пароль.
Вывод: ПРОТИВ ЛОМА НЕТ ПРИЁМА. Соответственно бессмыслено искать абсолютную защиту рабочей станции ОТ ЛОКАЛЬНОГО проникновения - надо сделать минимум необходимых настроек для защиты и АДМИНИСТРАТИВНЫМИ МЕРАМИ И РЕГЛАМЕНТАМИ заинтересовать пользователя не делать то, что админ считает неправильным - например менять IP-адреса. :)))) как говориться под страхом смерти... Ну и естественно настроить качественную систему мониторинга всех нежелательных событий со стороны пользователя....
Вопрос про кластер18.02.03 08:38 Автор: Yurii <Юрий> Статус: Elderman
В данном случае никаких проблем сделать это руками нет.
Вот тот же LC4 умеет "разрезать" диапазон перебора на N частей... чтобы потом каждый из N участников считал свой кусок....
Просто я как бы занимаюсь распределёнными вычислениями и проектом MD@home и если вы загляните в ветку форума dnet, то на это тему лучше общаться там, если уж всем так интересно. А здесь это офтопик.
Больше я на вопросы про то как я мог бы вскрывать пароль сисадмина отвечать здесь не буду :) А то больно оживились все.
Могу вас уверить что в 99% случаев кластер не понадобиться.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
