Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
printer huj zainstalirujesh bes server sluzhby 22.09.04 10:14 Число просмотров: 2152
Автор: guest Статус: Незарегистрированный пользователь
|
|
<site updates>
|
Серьезная уязвимость в стандартной конфигурации XP SP2? 18.09.04 16:16
Publisher: dl <Dmitry Leonov>
|
Серьезная уязвимость в стандартной конфигурации XP SP2? PC Welt http://www.pcwelt.de/know-how/extras/103039/
В статье из PC Welt заявляется о наличии серьезной конфигурационной ошибке в XP SP2, приводящей ко всеобщей доступности разделенных ресурсов.
Ход рассуждений следующий. Начиная с XP SP1, галочка в настройках сетевых адаптеров (или, по крайней мере, для dialup и ADSL-соединений), отвечающая за привязку File and Printer Sharing for Microsoft Networks, приобрела косметический характер, и данная служба продолжает работать даже при ее отключении. В SP1 это не вызывало проблем, поскольку по умолчанию у каждого dialup-соединения был включен файрволл, блокирующий доступ к этой службе извне - оставляя его разрешенным для соединений по локальной сети. В SP2 настройки нового файрволла стали общими, причем настройки, связанные с разделяемыми файлами/принтерами, при установке SP2 просто наследуются из старых настроек локальной сети.
Т.е. получается, что после установки SP2 все ресурсы, разделенные для использования...
Полный текст
|
|
не нужно зря панику наводить. 22.09.04 11:03
Автор: defined Статус: Незарегистрированный пользователь
|
удалите моё прошлое письмо, ответ не вписал.
> Серьезная уязвимость в стандартной конфигурации XP SP2? > PC Welt http://www.pcwelt.de/know-how/extras/103039/ > > Ход рассуждений следующий. Начиная с XP SP1, галочка в > настройках сетевых адаптеров (или, по крайней мере, для > dialup и ADSL-соединений), отвечающая за привязку File and > Printer Sharing for Microsoft Networks, приобрела > косметический характер, и данная служба продолжает работать > даже при ее отключении.
Ребят, вы сами-то пробовали что тут описано ? Т.е. просто сделать net view своего компа из сетки с включенной галкой и без нее. Проверяем: берем win'xp SP2 (eng, corp), отключаем файрвол, WINS -> NetBIOS через TCP/IP включен (проверяем это через netstat -a -n), ставим галку file and print sharing, с другого компа (в данном случае пробовал на w2k srv SP4 + все post SP4 fix) делаем net view \\192.168.1.1 (192.168.1.1 - комп с win'xp SP2), имеем:
===
Системная ошибка 5.
Отказано в доступе.
===
_убираем_ галку " file and print sharing на win'xp, опять net view компа с win'xp с w2k srv, получаем:
===
Системная ошибка 53.
Не найден сетевой путь.
===
Для проверки сноваставимгалку и наблюдаем уже "отказано в доступе".
И кто сказал что галка косметическая ? Вобщем всё нормально, не нужно зря панику наводить.
|
| |
тексты бывает полезно читать целиком 22.09.04 12:17
Автор: dl <Dmitry Leonov>
|
|
| | |
замечание понял, чтобы не возникло вопросов, что я сообщил... 22.09.04 17:11
Автор: defined Статус: Незарегистрированный пользователь
|
замечание понял, чтобы не возникло вопросов, что я сообщил то что было изначально сказано (в прошлом письме так детально привел чтобы вопросов не осталось что "а может быть ты не так проверил": проверил на dialup'е - всё нормально отключается и доступ невозможен по диалапу к file and print... по крайней мере с того сервера (подключался к RRAS серверу на базе w2k srv через модем и с w2k пробовал пробиться на тот win'xp SP2 c которого звонил) куда дозванивался пробильная на компьютер откуда дозванивался не получилось.
|
| | | |
я, собственно, о последних двух абзацах 22.09.04 19:24
Автор: dl <Dmitry Leonov>
|
...в которых написал ровно то же самое - что мне до сих пор был неизвестен факт прекращения работы привязки File and Printer Sharing, и что первая же проверка в локалке его не подтвердила. Но поскольку уважаемый журнал сообщает о нем, приводя подтверждающие сообщения своих читателей, а заодно и упоминает подтвержденную плюху с "Only for own network (Subnet)", я привел их рассуждения, снабдив их своим комментарием. Кстати, маловероятно, но возможно, что это известный баг в немецкой версии - кто их знает.
|
|
Кроме, нетбиоса овер тсп, можно и службу "сервер"... 20.09.04 04:50
Автор: void <Grebnev Valery> Статус: Elderman
|
> Серьезная уязвимость в стандартной конфигурации XP SP2? > PC Welt http://www.pcwelt.de/know-how/extras/103039/ > > > В статье из PC Welt заявляется о наличии серьезной > конфигурационной ошибке в XP SP2, приводящей ко всеобщей > доступности разделенных ресурсов.
> Ход рассуждений следующий. Начиная с XP SP1, галочка в > настройках сетевых адаптеров (или, по крайней мере, для > dialup и ADSL-соединений), отвечающая за привязку File and > Printer Sharing for Microsoft Networks, приобрела > косметический характер, и данная служба продолжает работать > даже при ее отключении. В SP1 это не вызывало проблем, > поскольку по умолчанию у каждого dialup-соединения был > включен файрволл, блокирующий доступ к этой службе извне - > оставляя его разрешенным для соединений по локальной сети. > В SP2 настройки нового файрволла стали общими, причем > настройки, связанные с разделяемыми файлами/принтерами, при > установке SP2 просто наследуются из старых настроек > локальной сети.
> Т.е. получается, что после установки SP2 все ресурсы, > разделенные для использования... Кроме, нетбиоса овер тсп, можно и службу "сервер" отключить.
|
| |
Это чревато... Проще всё-таки отвязать её от интерфейса, всё работает... 20.09.04 09:57
Автор: HandleX <Александр М.> Статус: The Elderman
|
> > Начиная с XP SP1, галочка в > > настройках сетевых адаптеров (или, по крайней мере, > > для dialup и ADSL-соединений), отвечающая за привязку File > > and Printer Sharing for Microsoft Networks, приобрела > > косметический характер, и данная служба продолжает > > работать даже при ее отключении.
Subj, @#$ня это всё, привязки работают отлично, автор что-то тупит...
А отключение службы сервера превращает компутер (по крайней мере 2k, XP) в уродца - половина работать не будет.
|
| | |
Про отключение сервера..... Например, что;)) Ты пробовал?... 21.09.04 00:30
Автор: void <Grebnev Valery> Статус: Elderman
|
> > Subj, @#$ня это всё, привязки работают отлично, автор > что-то тупит... > А отключение службы сервера превращает компутер (по крайней > мере 2k, XP) в уродца - половина работать не будет.
Про отключение сервера..... Например, что;)) Ты пробовал? Что не будет работать, например? ;))) Я , так большому числу юзверей такое обрезание делал. Ничего. Не жужжжат. ;))) Рабочка и есть рабочка.
|
| | | |
RPC гонит... Browser (служба) не запустится... Там где рабочие группы будут проблемы. И ещй много чего. 21.09.04 12:43
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | |
По вашим постам видно, что Вы очень грамотный IT. Не скрою,... 23.09.04 00:34
Автор: void <Grebnev Valery> Статус: Elderman
|
По вашим постам видно, что Вы очень грамотный IT. Не скрою, я изучал некоторые вещи, подглядывая и в Ваши постинги. Но в данном случае Вы сильно ошибаетесь, если думаете, что браузинг сетевых нетбиос ресурсов - есть необходимая в реальной практике администрирования вещь. Напротив, это никогда не есть необходимость, при условии, что сетью управляет нормальный админ, не "андеграунд". Вы врядли сможете привести хотя бы один весомый аргумент, когда бы браузинг был необходим для решения практических задач совместной обработки данных в корпоративной сети.
|
| | | | | |
Да нормально всё ;-) На вкус и цвет... Честно говоря, не было у меня ситуаций, когда действительно было необходимо отключать службу сервера. Лучше не нарушать тайное движение подводных камней от M$ ;-) 23.09.04 10:08
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | |
Гонит как раз не RPC... ;) 22.09.04 20:25
Автор: Den <Денис Т.> Статус: The Elderman
|
Сам поотрубал на своей тачке все, что можно было отрубить без ущерба нормального функционирования. Моя рабочая станция (MS Windows 2k Server SP4) не разделяет никаких своих ресурсов с другими членами LAN.
Отрублены и не стартуют:
Automatic Update = manual
Computer Browser = disabled (не понимаю, для чего эта хрень нужна на рабочей станции?)
DHCP Client = disabled (адреса статические)
DNS Client = manual
Internet Connection Sharing = manual
Remote Access Auto Connection Manager = manual
Remote Registry Service = disabled
Server = disabled (естественно, чтобы нормально отключить эту службу, для начала требуется отвязать все протоколы от "File and Printer Sharing for Microsoft Network", она же "Server")
TCP/IP NetBIOS Helper Service = disabled (ко всему прочему отрубил кое что относящееся к NetBIOS в Hidden Devices)
WMI = manual
Windows Time = manual (меня и "net time" вполне устраивает)
Wireless Configuration = manual
Прекрасно работают:
Alerter
COM+ Event System
Print Spooler
RPC
System Event Notification
Workstation
и др.
При этом в event log'е все замечательно и никаких ошибок; нормальная печать на сетевой принтер, подключенный к другому компу (Win98se); инет через прокси пашет. Чего же боле?
Оговорюсь, что основной протокол в нашей сети - IPX и NetBIOS поверх него. Я прекрасно "вижу" сеть без всякого Computer Browser. Даже если NetBIOS был бы поверх TCP/IP, все равно я мог бы видеть состав рабочий группы и иметь возможность использовать разделяемые ресурсы без Computer Browser'а.
|
| | | | | |
Вы правы. Только несколько замечаний... Вернее... 23.09.04 01:04
Автор: void <Grebnev Valery> Статус: Elderman
|
Вы правы. Только несколько замечаний... Вернее комментариев.
> Computer Browser = disabled (не понимаю, для чего эта хрень > нужна на рабочей станции?) 1) Это не совсем то, что Вы думаете. Эта служба не нужна рабочей станции для того, чтобы браузить (получать список имён нетбиос). Эта служба используется обозревателями ресурсов, равно как и главными обозревателями домена. Их задача - сформировать списки ресурсов. Рабочая же станция находит бродкастом один из обозревателей и получает от него список ресурсов. Впрочем, рабочая станция и сама может сформировать эти списки для себя. Бродкастом.
2) Второй, на мой взгляд, важный поинт - это (браузинг) никогда не надо в нормально отлаженной инф. системе - делать браузинг. Дело админов - нормально обеспечить юзверям доступ к разделяемым ресурсам.
> DHCP Client = disabled (адреса статические) В вашем случае, вероятно, да. Но к сожалению DCHP Client имеет прямое отношение к возможности автоматической регистрации станнции в домене W2k. Простыми словами это означает, что если вы изменили адрес рабочки, где DHCP Client = disabled, то DNS на контроллере W2k никогда об этом не узнает. Придётся DNS руками подправлять. Не большое дело. Поэтому я всегда отключаю DHCP Client на клиентах, как и Вы. Хороший поинт - создать дополнительный GPO для domain root, в котором навернуть соответствующую политику. Я так делал. Это приведёт к тому, что эта служба будет отключена на уровне машинных политик на рабочке по загрузке.
> Internet Connection Sharing = manual disable
> Remote Access Auto Connection Manager = manual disable
> Remote Registry Service = disabled Здесь надо быть осторожным, что бы не обрезать себе **ца. Но только для серверов...., где надо юзать mmc для управления, например, RRAS. Почему это так - не знаю. Вероятно просто идиотизм M$. Это просто из практики.
> При этом в event log'е все замечательно и никаких ошибок; Ес.
> Оговорюсь, что основной протокол в нашей сети - IPX и > NetBIOS поверх него. Я прекрасно "вижу" сеть без всякого > Computer Browser.
Про Computer Browser я уже постил. Главными обозревателями домена, как правило, являются контроллеры домена. Впрочем это легко рихтуется в реестре. Вы видите всё, ибо рабочки получает по имена широковешательно (наличие ИП\ЭКС не отменяет бродкаста). Кстати Вы уверены, что одна из рабочих станций в Вашей ЛАН не является одним из обозревателей ( Browser )?
ПС. В отличие от "андеграунда" я почти не разбираюсь в этих вопросах. Поэтому простите, если что не так сказал.
|
| | | | |
printer huj zainstalirujesh bes server sluzhby 22.09.04 10:14
Автор: guest Статус: Незарегистрированный пользователь
|
|
| | | | | |
Хью, не хью, but it's dependent on your tasks. Not offence,... 23.09.04 00:26
Автор: void <Grebnev Valery> Статус: Elderman
|
Хью, не хью, but it's dependent on your tasks. Not offence, if U use a network printer connectet to another host. But ... U could use print-servers in your network. As I understand, this way is better.
|
| | | | | |
Гонишь! 22.09.04 20:28
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
Согласен с последними двумя абзацами 18.09.04 16:57
Автор: varnav Статус: Незарегистрированный пользователь
|
|
|
|