Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
В политиках безопасности «Do not allow anonimous enumeration of SAM accounts and shares» не помогает? 29.01.04 14:00 Число просмотров: 1535
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|
<sysadmin>
|
Как запретить анонимному пользователю доступ к списку пользователей...? 29.01.04 13:48
Автор: SAndreita Статус: Незарегистрированный пользователь
Отредактировано 29.01.04 13:52 Количество правок: 1
|
Здравствуйте!
Я только начинающая, но уже возник вопрос, который никак не могу решить.
Как запретить анонимному пользователю получать список всех пользователей на контроллере домена Windows 2000 Server? Дело в том, что идёт постоянный перебор. ЗАписи защищены от подбора паролей блокировкой на временной интервал, но если честно, очень надоедают эти атаки.
Обычное средство - в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA поставить параметр RestrictAnonymous типа DWORD в 2 - не помогает для контроллера домена, ибо несёт слишком строгие ограничения (вплоть до невозможности поддерживать доверительные отношения). Этот параметр у меня стоит в 1 - тоже не помогает...
Есть ли альтернативный способ решить мою проблему?
|
|
В политиках безопасности «Do not allow anonimous enumeration of SAM accounts and shares» не помогает? 29.01.04 14:00
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| |
1 в том параметре и означает эту установку. По идее она... 29.01.04 15:24
Автор: SAndreita Статус: Незарегистрированный пользователь
|
|
1 в том параметре и означает эту установку. По идее она должна срабатывать, но почему-то не на контроллере домена... :( Поэтому я и ищу другой способ...
|
| | |
А у тебя функциональность домен на каком уровне? 30.01.04 11:12
Автор: nemo Статус: Незарегистрированный пользователь
|
Если у тебя функциональность домена на уровне Pre-Windows 2000 то твои доменконтроллеры работают в режиме совместимости с NT4, где оная енумерация должна обязательно работать - в противном случае рабочие станции Win9x не смогут работать в домене.
Если у тебя нет ни одного контроллера домена под NT4 можешь смело поднимать функциональность домена до Native Windows 2000. На рабочие станции это никак не влияет.
|
| | | |
А у меня неправильная, наверное, функциональность. 31.01.04 02:22
Автор: void <Grebnev Valery> Статус: Elderman
|
2 nemo,
Ваш пост в нитке ниже выглядит впечатляюще. Видно, что Вы очень хороший специалист, но не могли бы Вы прокоментировать своё высказывание ниже про "...в противном случае рабочие станции Win9x..." :
> Если у тебя функциональность домена на уровне Pre-Windows
> 2000 то твои доменконтроллеры работают в режиме
> совместимости с NT4, где оная енумерация должна обязательно
> работать - в противном случае рабочие станции Win9x не
> смогут работать в домене.
Вы знаете, у меня всё в native, но рабочки W98 - работают?
2 автор топика,
Странно, но у меня всё работает. Не могут анонимщики просматривать ни пользователей , ни общие ресурсы.
|
| | | | |
комментарий. 31.01.04 13:18
Автор: nemo Статус: Незарегистрированный пользователь
|
> 2 nemo,
> Ваш пост в нитке ниже выглядит впечатляюще. Видно, что Вы
> очень хороший специалист, но не могли бы Вы
> прокоментировать своё высказывание ниже про "...в противном
> случае рабочие станции Win9x..." :
>
> > Если у тебя функциональность домена на уровне
> Pre-Windows
> > 2000 то твои доменконтроллеры работают в режиме
> > совместимости с NT4, где оная енумерация должна
> обязательно
> > работать - в противном случае рабочие станции Win9x не
> > смогут работать в домене.
>
> Вы знаете, у меня всё в native, но рабочки W98 - работают?
немного некорректно высказался.. согласен, что фраза про 9x рабочие станции выглядит, мягко скажем, некорректно.
Действительно уровень функциональности домена влияет только на то, как SAM на контроллерах домена AD Win2000 будет взаимодействовать с контроллерами домена WinNT4 в этом же домене
Анонимное перечисление (энумерация) security principal SAM зависит только от состава группы Pre-Windows 2000 Access и политики RestrictAnonymous. Кроме того если включена учётная запись guest, то для клиентов Windows 2000 и выше открывается возможность доступа к Computer Menagment не зависимо от политики RestrictAnonymous.
|
| | | | | |
Да. Замечание полезное. 01.02.04 02:24
Автор: void <Grebnev Valery> Статус: Elderman
|
>Кроме того если включена учётная запись guest, то для клиентов Windows
>2000 и выше открывается возможность доступа к Computer Menagment не
>зависимо от политики RestrictAnonymous.
Спасибо. Понятно. Про guest, в части отношения к RestrictAnonymous - полезное замечание. Лично я не обращал внимания на это раньше, поскольку всегда дисэблю эту учётную запись.
ПС.
Думаю, замечание про guest будет полезно админам, по крайней мере - мне.
На будущее.
|
| | | |
Не уловлю связи никак... 30.01.04 12:55
Автор: SAndreita Статус: Незарегистрированный пользователь
|
Просто ситуация такая: есть рабочие станции под Windows 9x, но домен-контроллеров NT-4 нет ни одного...
Та политика срабатывает для всех рабочих станций - не даёт SAM, но на контроллере SAM'а как такового нет (отключён), но есть AD... Вот тут этот аноним и берёт список пользователей и начинает перебор...
|
| | | | |
про SAM и уровни функциональности AD. 30.01.04 17:02
Автор: nemo Статус: Незарегистрированный пользователь
|
> Просто ситуация такая: есть рабочие станции под Windows 9x,
> но домен-контроллеров NT-4 нет ни одного...
> Та политика срабатывает для всех рабочих станций - не даёт
> SAM, но на контроллере SAM'а как такового нет (отключён),
Не верно.. SAM на контроллерах домена (DCs) всегда есть и работает. Он отличается от SAM NT4 тем, что SAM NT4 хранит свою БД в специальном разделе реестра, в то время как SAM на DCs хранит свю БД в атрибутах AD. Это обеспечивает станциям Pre-Windows 2000 возможность работать в домене Win2K AD без инсталляции DSClient (обновления дл работы в домене). На функциональность службы SAM влияет четыре параметра:
1) Уровень функциональности домена AD (nativ или pre-windows 2000)
2) Параметр политики безопастности "Dont allow anonymouse enumeration of SAM accounts"
3) FSMO роль контроллера PDC-эмулятор.
4) Состав группы Pre-Windows 2000 Access
> но есть AD... Вот тут этот аноним и берёт список
> пользователей и начинает перебор...
То, о чём говорил Killer это права на объекты NTDS (их ACL), они играют роль только когда происходит обращение к NTDS через ADSI или непосредственно LDAP. В этом случае играет роль то, кто входит в группу Pre-Windows 2000 Access, но только для авторизованных пользователей, а не анонимных.
Итого: Доступ анонимных пользователей к SAM DC определяется:
1) Настройкой политики безопастности применяемой локально или на уровне OU=Domain Controllers
2) Уровнем функциональности домена.
|
| | | | |
я не админ но возможно это поможет:
30.01.04 14:49
Автор: Killer{R} <Dmitry> Статус: Elderman
|
я не админ но возможно это поможет:
---NetUserEnum:
Security Requirements
Windows NT: No special group membership is required to successfully execute the NetUserEnum function.
Windows 2000: If you call this function on a Windows 2000 domain controller that is running Active Directory, access is allowed or denied based on the access-control list (ACL) for the securable object. The default ACL permits all authenticated users and members of the "Pre-Windows 2000 compatible access" group to view the information. By default, the "Pre-Windows 2000 compatible access" group includes Everyone as a member. This enables anonymous access to the information if the system allows anonymous access.
If you call this function on a Windows 2000 member server or workstation, all authenticated users can view the information. Anonymous access is also permitted if the RestrictAnonymous policy setting allows anonymous access.
For more information about restricting anonymous access, see Security Requirements for the Network Management Functions.
---Далее по ссылке:
Security Requirements for the Network Management Functions
Calling some of the network management functions does not require special group membership. Other functions require that users have a specific privilege level to execute successfully. When applicable, the Security Requirements section on a function's reference page indicates the privilege level a user must have to execute the particular function.
The security requirements that apply when you make calls to certain network management functions on Windows 2000 are different than the requirements that apply when you call the functions on Windows NT. The functions include, among others, all those that begin with NetGroup, NetLocalGroup, and NetUser. For a complete list of affected functions, see the end of this topic. For requirements that apply to an individual network management function, please see the function's reference page.
Windows 2000 Active Directory domain controllers: If you call one of the affected functions on a Windows 2000 domain controller running Active Directory™, access to a securable object is allowed or denied based on the access-control list (ACL) for the object. (ACLs are specified in the directory.)
For queries, the default ACL permits all authenticated users and members of the "Pre-Windows 2000 compatible access" group to view information. For updates, the default ACL permits only Administrators and account operators to write information.
Note By default, the "Pre-Windows 2000 compatible access" group includes Everyone as a member. This enables anonymous access (Anonymous Logon) to information if the system allows anonymous access. Administrators can remove Everyone from the "Pre-Windows 2000 Compatible Access" group when installing a domain controller. Removing Everyone from the group restricts information access to authenticated users only.
Anonymous access to securable objects can also be restricted by setting the following key in the registry to the value 1. (This is also referred to as the RestrictAnonymous policy setting.)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous
Windows 2000 servers and workstations: If you call one of the affected functions on a Windows 2000 member server or workstation to perform a query, all authenticated users can view the information. Anonymous access is also possible if the RestrictAnonymous policy setting allows anonymous access. For updates, only Administrators and account operators can write information.
|
| | | | | |
Спасибо всем большое! 02.02.04 13:35
Автор: SAndreita Статус: Незарегистрированный пользователь
|
Мне пригодились ваши советы и ваш опыт!
С искренней благодарностью - SAndreita
|
|
|
подробно о проекте
Анализ криптографических сетевых...
