информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ахтунг! - правильный ответ 23.09.05 15:55  Число просмотров: 2518
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
1) найти такой файл в system32 - msgina.dll
2) найти в нем такую экпортированную функцию - WlxDisplayLockedNotice
3) поменять байты в начале этой ф-ии на c2,04,00
4) найти в нем такую экпортированную функцию - WlxWkstaLockedSAS
5) поменять байты в начале этой ф-ии на 33,c0,c2,08,00
6) убедить WFP что это таки правильная длл
7) ребутить станцию

-папа, а правда что от аськи тупеют?
-гыыы, сынок, лол!
<sysadmin>
Блокировка!!! 22.09.05 15:55  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
Как централизованно запретить юзерам лочить компьютеры.
Если просто запретить доступ к rundll32.exe - то возникают другие проблеммы, а необходимо закрыть доступ
от таких команд как win+l , rundll32.exe user32dll,LockWorkStation
Помогите плиз...запарился я уже:(
ахтунг! - правильный ответ 23.09.05 15:55  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
1) найти такой файл в system32 - msgina.dll
2) найти в нем такую экпортированную функцию - WlxDisplayLockedNotice
3) поменять байты в начале этой ф-ии на c2,04,00
4) найти в нем такую экпортированную функцию - WlxWkstaLockedSAS
5) поменять байты в начале этой ф-ии на 33,c0,c2,08,00
6) убедить WFP что это таки правильная длл
7) ребутить станцию

-папа, а правда что от аськи тупеют?
-гыыы, сынок, лол!
А может ну их, патчи эти? 23.09.05 17:23  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Переименовать rundll32.exe и написать свою, которая будет вызывать переименованную с переданными параметрами, а если встретит rundll32 user32,LockWorkStation, то пошлет куда подальше.

Так прокатит?
мы ж не в микрософте - давайте сразу делать хорошо 23.09.05 17:30  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
> Переименовать rundll32.exe и написать свою, которая будет
> вызывать переименованную с переданными параметрами, а если
> встретит rundll32 user32,LockWorkStation, то пошлет куда
> подальше.
>
> Так прокатит?

способов залочить на удивление много

например вот такая программа lock.com (45 байтов!)

000000: 0E 0E 07 1F BE 12 01 BF 1D 01 8B DF C4 C4 58 00 ..............X.
000010: CD 20 75 73 65 72 33 32 2E 64 6C 6C 00 4C 6F 63 . user32.dll.Loc
000020: 6B 57 6F 72 6B 53 74 61 74 69 6F 6E 00 kWorkStation....

мой способ не частичный workaround а бьет насмерть :) как и учили...
Если пропатчить саму LockWorkStation, то тоже насмерть 23.09.05 17:32  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
XP - ни фига. [upd] проверил 23.09.05 16:49  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 23.09.05 17:17  Количество правок: 1
<"чистая" ссылка>
Не лочит, а переключает пользователей. Хотя наверное это не сильно помешает. А в 2k щас проверю

------------

Запрет в групповых политиках отлично работает на win2k
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=126536
это у тебя наверное FastUserSwitching или как там оно правильно называется, короче та галка которую первой после сетупа отключают :) 23.09.05 17:17  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
Вырубил 23.09.05 17:31  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
sc stop FastUserSwitchingCompatibility
sc config FastUserSwitchingCompatibility start= disabled

Все равно переключается (и с патчем и с групповой политикой). В общем надо ждать дракончика - он скажет достаточно ли ему того, что тут нагородили
Ребята, спасибо за помощь:) Пропачить rundll32 - это круто,... 24.09.05 13:09  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
> sc stop FastUserSwitchingCompatibility
> sc config FastUserSwitchingCompatibility start= disabled
>
> Все равно переключается (и с патчем и с групповой
> политикой). В общем надо ждать дракончика - он скажет
> достаточно ли ему того, что тут нагородили
Ребята, спасибо за помощь:) Пропачить rundll32 - это круто, правда гиморно, если на каждую тачку ставить патч...
Если через груповую политику закрываешь лок, то при нажатии win+l - комп все равно блокируется:((этот баг исправляет sp2, но он такой глючный, что лучше без него).
Пробовал через политику дать запрет на загрузку rundll32.exe user32dll,LockWorkStation, но для компа эта политика глуха...как лочился, так и лочится.
Если закрыть командную строку, пользователи могут создать ярлык и в нем прописать эту команду...
Подумываю через скрипт добавлять в реестр ключ на запрет блокировки...не знаю поможет ли...
Как думаете о таком раскладе?
Тока шо проверил в 2k: "DisableLockWorkstation"=dword:00000001 23.09.05 17:04  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
По крайней мере, кнопарь "LockWorkstation" = disabled.
Может можно какими-нибудь горячими клавишами минуя Ctrl+Alt+Del, Alt-W???
Есть кнопка "ресет" или "пауэр", если "ресет" не нравится. На АТХ писюках прекрасно сработает. Если предыдущий юзер оставил несохраненным открытый документ в ворде, пусть ему будет хуже. 22.09.05 18:05  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
А чем она мешает то? Админ ведь может её снять. 22.09.05 16:10  
Автор: ncux Статус: Незарегистрированный пользователь
Отредактировано 22.09.05 16:51  Количество правок: 1
<"чистая" ссылка>
Как чем? Представь - я должен постоянно в разные концы... 22.09.05 16:15  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
Как чем? Представь - я должен постоянно в разные концы здания бегать и "снимать" блокировку?
Ну уж нет:)
Странная какая-то проблема =/ 22.09.05 16:35  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Как чем? Представь - я должен постоянно в разные концы
> здания бегать и "снимать" блокировку?

Зачем?!

> Ну уж нет:)

Если пользователь поставил блокировку, наверное это ему всё-таки зачем-то нужно.

P.S. сорри за offtop.
Зачем ты ее снимаешь? 22.09.05 16:33  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
я работаю в университете. 22.09.05 17:00  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
я работаю в университете.
Кол-во компо ограничено. Когда один студент в классе поставит блокировку - другой не может сесть.
Поэтому приходиться снимать блок и сажать другого студента.
А так у меня меньше гимора.
Есть только одно НО - на rundll32.exe я не могу дать полный запрет...так как появляются лишние проблемы.
Есть RAdmin, pcAnyware наконец! Зачем бегать?! А вообще вот: 22.09.05 17:29  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableLockWorkstation"=dword:00000001

> я работаю в университете.
> Кол-во компо ограничено. Когда один студент в классе
> поставит блокировку - другой не может сесть.
> Поэтому приходиться снимать блок и сажать другого студента.
> А так у меня меньше гимора.
> Есть только одно НО - на rundll32.exe я не могу дать полный
> запрет...так как появляются лишние проблемы.

Служебку на имя начальника ВЦ. Для преподов не проблема найти того, кто сидел на этом компе.
Отимеют студента по полной программе за несоблюдения правил пользования ВЦ.
Ну это совсем гуманный способ :) 23.09.05 13:32  
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
Но я бы сделал именно так.
ну так сделай, заодно убедишься что станция прекрасно продолжает лочиться 23.09.05 15:25  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
А почему? MS не реализовала то, что описала в ADM шаблоне? 23.09.05 16:20  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
1  |  2  |  3 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach