информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetПортрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Как запретить просмотр дисков из сети (снять шаринг С$)? 28.08.06 19:01  
Автор: Zomby Статус: Незарегистрированный пользователь
Отредактировано 28.08.06 19:08  Количество правок: 1
<"чистая" ссылка>
Простите за ламерский вопрос, везде пишут "идиоты оставили на компе секретарши доступ к диску С$", но не пишут как этого избежать. Мне идиотом быть не хочется, но по поиску "снять шаринг" я нашел только пару очень старых тредов и то с неподходящим советом: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=17097
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=74389

Как же все-таки убрать видимость по умолчанию дисков C$, D$, на машинах Win2000, WinXP, если машина в доменной сети, я на ней локальный админ, но доменные юзера могут по умолчанию логиниться на любом компе и соответственно со своими логинами/паролями просматривать мои диски (как и я их... ;-) ), а остановить службу сервера (единственный работающий совет) на своем компе я не могу - через него расшарен принтер и еще одна нужная мне папка?

Идеально было бы, если бы попытка посмотреть с других компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не как сейчас "введите логин/пароль".
выдержка из мануала по конфигу компов 29.08.06 18:15  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 29.08.06 18:19  Количество правок: 1
<"чистая" ссылка>
1 Файловая система на всех жестких дисках должна быть NTFS.
2 Пароль локального администратора для компьютеров в подразделении является стандартным и формируется в отделе ИТ.
3 Локальная группа «Администраторы» компьютера должна содержать следующие записи:
- Администратор
- домен\Domain Admins
- домен\Отдел ИТ
4. Права доступа к файловой системе, начиная с корневого каталога диска C:, устанавливаются следующим образом:
- SYSTEM – полный доступ
- «Администраторы» – полный доступ
- «Опытные пользователи» – изменение
- «Пользователи» – чтение и выполнение
5. Запись «Все» должна быть удалена из списков доступа любого каталога.
6. Для офисных компьютеров на каталог C:\Program Files\ВашаКорпорративнаяСофта для группы «Пользователи» устанавливаются права на изменение.

подразумевается, что все юзеры присутствуют только в Domain Users и получают права группы "пользователи", следовательно напакостить у себя в компе, или у других-не могут
имеют доступ только к своему профилю, ну, и посмотреть/выполнить могут чучуть :)
для работы хватает

p.s. у меня это все настроено в образе, который я заливаю во все компы
если хочется порядка и полной ясности в том, что творится в организации - мой совет - создавай образ, настраивай его от-и-до, включай туда весь стандартный софт - чтобы вся установка - от включения компа и до логина юзера не занимала больше 30 минут - и переставляй все компы в организации
тогда тебе будет удобно и ставить новые компы и восстанавливать компы после глюков
Сначала надо определиться, что все-таки хочется: закрыть... 29.08.06 10:14  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 10:18  Количество правок: 3
<"чистая" ссылка>
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать.
> Как же все-таки убрать видимость по умолчанию дисков C$,
> D$, на машинах Win2000, WinXP, если машина в доменной сети,
> я на ней локальный админ, но доменные юзера могут по

Сначала надо определиться, что все-таки хочется: закрыть шары или закрыть доступ к инфе.

> умолчанию логиниться на любом компе и соответственно со
> своими логинами/паролями просматривать мои диски (как и я

Все это делается правами. Наличие шар и прав у кого надо позволяют не дать доступ тем, кому не надо и дать тому, кому надо, при необходимости.

> их... ;-) ), а остановить службу сервера (единственный
> работающий совет) на своем компе я не могу - через него
> расшарен принтер и еще одна нужная мне папка?
>
> Идеально было бы, если бы попытка посмотреть с других
> компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не
> как сейчас "введите логин/пароль".

Ну и... Не ввел пароль или ввел неправильный пароль - пошел на ... Самому надо залезть с другого компа - ввел правильный пароль и пожалуйста. А доменным юзерам порезать доступ. Точнее там стоит право по умолчанию доступ для всех на корень С:.
все-таки хочется: закрыть... 29.08.06 14:52  
Автор: Zomby Статус: Незарегистрированный пользователь
<"чистая" ссылка>

> Сначала надо определиться, что все-таки хочется: закрыть
> шары или закрыть доступ к инфе.
Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно. Но шары "\\myComp\export,\\myComp\Printer" должны остаться!

> Все это делается правами. Наличие шар и прав у кого надо
> позволяют не дать доступ тем, кому не надо и дать тому,
> кому надо, при необходимости.
Кхм... я не имею доступа к правам домена, только к локальным правам. Можно пример для такого случая? Как разделить права на разные шары, а не запретить доступ доменным юзерам вообще?

> Ну и... Не ввел пароль или ввел неправильный пароль - пошел
> на ... Самому надо залезть с другого компа - ввел
> правильный пароль и пожалуйста. А доменным юзерам порезать
> доступ. Точнее там стоит право по умолчанию доступ для всех
> на корень С:.
Где "там"? В свойствах диска С, закладка Шаринг, указание выбора "not share" действует лишь до перезагрузки. А кнопка прав дает вместо обычного списка предупреждение: этот шаринг только для административных целей!

Или вы имеете в виду поменять права доступа не для собственно шаринга, а для всех файлов на диске (корень и далее), кроме папки "\export" (закладка Безопасность)? Это и долго (хоть и однократно), но главное я боюсь ошибиться и закрыть доступ так, что ни я ничего не смогу читать, ни система грузиться не будет... :(
Можете ли привести пример списка прав?

Есть еще одна идея, но я тоже боюсь ее пробовать... снять шаринг, созданный автоматом, и снова зашарить вручную с тем же именем, но с доступом лишь для меня. Можно так сделать или нет?
На права на шары можно наплевать (у системных шар все равно... 29.08.06 19:20  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 19:21  Количество правок: 1
<"чистая" ссылка>
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?

На права на шары можно наплевать (у системных шар все равно их подправить не получится). Работаем с правами на файлы.

> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!

В свойствах рядом с закладкой SHARING/ШАРЫ должна быть закладка SECURITY/БЕЗОПАСНОСТЬ (или что-нибудь в этом духе, на сколько я припоминаю русифицированные винды, которых сейчас нет под рукой).

Идея в том, что нельзя исправить шарами, можно исправить другими правами доступа. Шарами эта задача не решается, поскольку если каким-либо образом (например остановкой службы или сетевым фильтром) перекрывается доступ к системным шарам, то и обычные шары видны не будут. Приоритет системным, то есть если есть возможность создать обычные шары, то и системные будут существовать.

> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?

Можно, но для начала нужно понять какие права имеют пользователи домена, которым нужно ограничить доступ.
В принципе все просто. Винды имеют системную шару, чтоб Админы могли получить доступ. ЕЕ права нельзя менять, чтоб не нарушить безопасномть (случайно), а именно Админы имеют доступ, а все остальные не должны иметь доступ.
В худшем случае, если (по тупости и ленности Админа) все пользователи в группе Админов (чтоб не замарачиваться с правами), то можно и админам "перекрыть доступ", но только так, что лохи не догадаются как его себе вернуть.
Много чего возможно, но сначала узнайте кто и какие права имеет, все шары на компе, права на корень диска.

> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
Я что то не пойму, у вас что на административные шары доступ... 29.08.06 15:29  
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
>
> > Сначала надо определиться, что все-таки хочется:
> закрыть
> > шары или закрыть доступ к инфе.
> Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно.
> Но шары "\\myComp\export,\\myComp\Printer" должны остаться!
Я что то не пойму, у вас что на административные шары доступ у всех пользователей домена???
Они что все администраторы домена ;-)
Или на каждой машине прописан пользователь с правами локального админа ???
>
> > Все это делается правами. Наличие шар и прав у кого
> надо
> > позволяют не дать доступ тем, кому не надо и дать
> тому,
> > кому надо, при необходимости.
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?
Для шар которые ты сам создал задаешь права самостоятельно
для админских шар, туда имеют доступ только локальный админ компа и админы домена, по
крайней мере мне так казалось
>
> > Ну и... Не ввел пароль или ввел неправильный пароль -
> пошел
> > на ... Самому надо залезть с другого компа - ввел
> > правильный пароль и пожалуйста. А доменным юзерам
> порезать
> > доступ. Точнее там стоит право по умолчанию доступ для
> всех
> > на корень С:.
> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!
>
> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?
>
> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
странно, шары такие не закрываю, но тем не менее идиотом... 29.08.06 09:37  
Автор: michaek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать. Мне идиотом быть не хочется, но по поиску
> "снять шаринг" я нашел только пару очень старых тредов и то
> с неподходящим советом:

странно, шары такие не закрываю, но тем не менее идиотом себя при этом не чувствую, где грабли?
Дык KB816524 28.08.06 19:31  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>


http://support.microsoft.com/kb/816524/en-us
Дык это не совсем то... 29.08.06 14:25  
Автор: Zomby Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Это описано для сервера 2003. А на 2000 и ХП нет в этом месте (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters) такого ключа!
В одной из указанных мною ранее ссылок похожий совет был, так я потому и спросил снова, что key AutoShareServer нет у меня в регистре вообще!
Может надо его самому создать? Попробую...
Да не, именно то;) 30.08.06 20:24  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> Это описано для сервера 2003. А на 2000 и ХП нет в этом
> месте
> (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanma
> nserver\parameters) такого ключа!
FAQ: Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?
http://tera.certa.ru/projects/kb/11-12/

> Может надо его самому создать? Попробую...
добавьте или измените следующие значения
и плюс
Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
net share ipc$ /delete... 30.08.06 21:46  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete


Почему бы вместо всего этого не сделать банальный net stop server :)
Цитирую: Но шары "\\myComp\export,\\myComp\Printer" должны остаться! [конец цитаты]. 31.08.06 14:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
net share ipc$ /delete 31.08.06 16:05  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Если умудриться закрыть ipc$ то никакая шара не будет доступна
Но
C:\Program Files\Far>net share ipc$ /delete
System error 5 has occurred.

Access is denied.
AutoShareWks 29.08.06 14:29  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 29.08.06 14:30  Количество правок: 1
<"чистая" ссылка>
AutoShareWks
Добавить самому, использовать аналогично (но для не серверных виндов), действует после ребута.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach