информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Страшный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я знал это! Я облазил уже в десятый раз эти политики и... 22.02.05 14:42  Число просмотров: 1617
Автор: Time Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я знал это! Я облазил уже в десятый раз эти политики и наконец таки нашел!
Итак, пункты 1 и 2 решены. НО как мне быть с остальными? Чувствую, что тут програмить надо, но, не обучен, блин.....
<sysadmin>
аудит и контроль времени работы юзеров 21.02.05 20:38  
Автор: Time Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Нужна помощь.
Вот уже долго не могу решить следующие проблемы.
Есть домен(w2k3) с юзерами(w2k).
Надо (в порядке возрастания сложности и увеличения важности) :
1. Запретить пользователям делать шатдаун. Вместо выключения делать логоф.
2. Запретить пользователям убивать процессы из таскмэнеджера, а лучше запретить вообще его вызывать.
3. Запретить логиниться с нескольких машин одновременно.
4. Вести аудит сеансов пользователей. Есть, например, такой чат "IChat". Эта штука автоматически определяет имя пользователя из windows logon, записывет время входа в чат и выхода из него. Мне нужно почти тоже самое, т.е. хочу, чтобы у меня были логи того, кто, когда залогился (не в чат, а вообще в систему), активен или нет, сколько времени находится в сети, когда сделал логоф.
5. На основе этих данных сделать счетчик времени, который считает время пребывания пользователя в сети и по достижении некоторого значения (в день, в неделю и т.д.) делает логоф.
вот что можно сделать 22.02.05 16:44  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Нужна помощь.
> Вот уже долго не могу решить следующие проблемы.
> Есть домен(w2k3) с юзерами(w2k).
> Надо (в порядке возрастания сложности и увеличения
> важности) :
> 1. Запретить пользователям делать шатдаун. Вместо
> выключения делать логоф.
это решается доменной политикой
> 2. Запретить пользователям убивать процессы из
> таскмэнеджера, а лучше запретить вообще его вызывать.
убивать чьи процессы? свои он сможет всегда убивать. Если надо чтобы работали процессы и юзер не мог их прибить, запускать их при входе в систему из под учетной записи администратора компа. Запрет вызова диспетчера тоже легко осуществляем (dword:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr=1), но нет гарантии что это не будет сделано аналогичной программой
> 3. Запретить логиниться с нескольких машин одновременно.
этого не знаю как реализовать
> 4. Вести аудит сеансов пользователей. Есть, например, такой
> чат "IChat". Эта штука автоматически определяет имя
> пользователя из windows logon, записывет время входа в чат
> и выхода из него. Мне нужно почти тоже самое, т.е. хочу,
> чтобы у меня были логи того, кто, когда залогился (не в
> чат, а вообще в систему), активен или нет, сколько времени
> находится в сети, когда сделал логоф.
включить аудит входы/выхода в вистему. На контролере домена в лог будет писаться время входы/выхода каждого пользователя
> 5. На основе этих данных сделать счетчик времени, который
> считает время пребывания пользователя в сети и по
> достижении некоторого значения (в день, в неделю и т.д.)
> делает логоф.
штатными средствами не знаю. Но можно самому написать парсилку логов и самому отлогинивать пользователя
аудит включен. а где находится этот журнал? 22.02.05 17:38  
Автор: Time Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В журналах безопасности на контроллерах домена. 22.02.05 17:48  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
1 и 2 - групповыми политиками запрещается 21.02.05 22:53  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Я знал это! Я облазил уже в десятый раз эти политики и... 22.02.05 14:42  
Автор: Time Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я знал это! Я облазил уже в десятый раз эти политики и наконец таки нашел!
Итак, пункты 1 и 2 решены. НО как мне быть с остальными? Чувствую, что тут програмить надо, но, не обучен, блин.....
Re: 22.02.05 15:43  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 22.02.05 15:51  Количество правок: 3
<"чистая" ссылка>
3) можно позволить юзеру логиниться только на определённые машины. Такое не пойдёт? Это в свойствах аккаунта пользователя поле "Logon To:".
4) В политиках аудита на каждую машину можно выставить аудит на Logon, Logof and System, и написать софтину, анализирующую логи. Но при неожиданном вырубании машины logoff записан не будет, со всеми вытекающими ;-)
5) Счётчик времени основывается на п.4, но вот автоматический логофф это да, сильно... Если только делать периодический пересчёт, отключать аккаунт, и делать Force logoff на клиентской тачке.

Но уж если что-то писать, то лучше писать интерактивную службу на каждую машину, анализирующую текущего пользователя, считающую время, и делающую логофф когда надо.

Надо же когда-то начинать программировать? ;-)
Интернет-кафе или игровой клуб?
Это не пойдет(. Юзер имеет право логиниться на любой тачке. 22.02.05 16:08  
Автор: Time Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 3) можно позволить юзеру логиниться только на определённые
> машины. Такое не пойдёт? Это в свойствах аккаунта
> пользователя поле "Logon To:".
Это не пойдет(. Юзер имеет право логиниться на любой тачке.

> 4) В политиках аудита на каждую машину можно выставить
> аудит на Logon, Logof and System, и написать софтину,
> анализирующую логи. Но при неожиданном вырубании машины
> logoff записан не будет, со всеми вытекающими ;-)
Неожиданного вырубания не будет, потому что правов у них таких нет (политиками запрещено), везде упсы стоят. Если только на power нажать и подержать. Но за это я буду карать. А софтину хорошо бы готовую, не умею я, блин, програмить.

> 5) Счётчик времени основывается на п.4, но вот
> автоматический логофф это да, сильно... Если только делать
> периодический пересчёт, отключать аккаунт, и делать Force
> logoff на клиентской тачке.
Все упирается в п.4.

> Но уж если что-то писать, то лучше писать интерактивную
> службу на каждую машину, анализирующую текущего
> пользователя, считающую время, и делающую логофф когда
> надо.
>
> Надо же когда-то начинать программировать? ;-)
Согласен. Какие языки то лучше под винду идут? VB, C++ или еще чего?

> Интернет-кафе или игровой клуб?
ни то, ни другое. но больше похоже на и-нет кафе. суть в том, что есть тачки для юзеров, есть юзеры. юзеров слишком много (около 200), огромные очереди. все юзеры равны, но кто раньше пришел, тот и сидит, пока ему не надоест (все на халяву). следить за каждым нет ни возможности, ни желания. это все меня напрягает.
Можно с Delphi начать — Паскаль мировоззрение не портит ;-) 22.02.05 16:34  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Ну давай тут еще holy war разведем :-) 22.02.05 18:46  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
На мой взгляд как раз делфи и отучает людей программировать (не в такой мере конечно, как бейсик, но все равно довольно сильно) :-)

А вот что ты имеешь в виду под не "мировоззрение не портит"?
Бейсик и имел ввиду... Да шутка это про мировоззрение, не надо близко к сердцу так... ;-) 22.02.05 18:57  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach