Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
|
странно, шары такие не закрываю, но тем не менее идиотом... 29.08.06 09:37 Число просмотров: 3311
Автор: michaek Статус: Незарегистрированный пользователь
|
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать. Мне идиотом быть не хочется, но по поиску
> "снять шаринг" я нашел только пару очень старых тредов и то
> с неподходящим советом:
странно, шары такие не закрываю, но тем не менее идиотом себя при этом не чувствую, где грабли?
|
|
<beginners>
|
Как запретить просмотр дисков из сети (снять шаринг С$)? 28.08.06 19:01
Автор: Zomby Статус: Незарегистрированный пользователь
Отредактировано 28.08.06 19:08 Количество правок: 1
|
Простите за ламерский вопрос, везде пишут "идиоты оставили на компе секретарши доступ к диску С$", но не пишут как этого избежать. Мне идиотом быть не хочется, но по поиску "снять шаринг" я нашел только пару очень старых тредов и то с неподходящим советом: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=17097
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=74389
Как же все-таки убрать видимость по умолчанию дисков C$, D$, на машинах Win2000, WinXP, если машина в доменной сети, я на ней локальный админ, но доменные юзера могут по умолчанию логиниться на любом компе и соответственно со своими логинами/паролями просматривать мои диски (как и я их... ;-) ), а остановить службу сервера (единственный работающий совет) на своем компе я не могу - через него расшарен принтер и еще одна нужная мне папка?
Идеально было бы, если бы попытка посмотреть с других компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не как сейчас "введите логин/пароль".
|
|
выдержка из мануала по конфигу компов 29.08.06 18:15
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 29.08.06 18:19 Количество правок: 1
|
1 Файловая система на всех жестких дисках должна быть NTFS.
2 Пароль локального администратора для компьютеров в подразделении является стандартным и формируется в отделе ИТ.
3 Локальная группа «Администраторы» компьютера должна содержать следующие записи:
- Администратор
- домен\Domain Admins
- домен\Отдел ИТ
4. Права доступа к файловой системе, начиная с корневого каталога диска C:, устанавливаются следующим образом:
- SYSTEM – полный доступ
- «Администраторы» – полный доступ
- «Опытные пользователи» – изменение
- «Пользователи» – чтение и выполнение
5. Запись «Все» должна быть удалена из списков доступа любого каталога.
6. Для офисных компьютеров на каталог C:\Program Files\ВашаКорпорративнаяСофта для группы «Пользователи» устанавливаются права на изменение.
подразумевается, что все юзеры присутствуют только в Domain Users и получают права группы "пользователи", следовательно напакостить у себя в компе, или у других-не могут
имеют доступ только к своему профилю, ну, и посмотреть/выполнить могут чучуть :)
для работы хватает
p.s. у меня это все настроено в образе, который я заливаю во все компы
если хочется порядка и полной ясности в том, что творится в организации - мой совет - создавай образ, настраивай его от-и-до, включай туда весь стандартный софт - чтобы вся установка - от включения компа и до логина юзера не занимала больше 30 минут - и переставляй все компы в организации
тогда тебе будет удобно и ставить новые компы и восстанавливать компы после глюков
|
|
Сначала надо определиться, что все-таки хочется: закрыть... 29.08.06 10:14
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 10:18 Количество правок: 3
|
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать.
> Как же все-таки убрать видимость по умолчанию дисков C$,
> D$, на машинах Win2000, WinXP, если машина в доменной сети,
> я на ней локальный админ, но доменные юзера могут по
Сначала надо определиться, что все-таки хочется: закрыть шары или закрыть доступ к инфе.
> умолчанию логиниться на любом компе и соответственно со
> своими логинами/паролями просматривать мои диски (как и я
Все это делается правами. Наличие шар и прав у кого надо позволяют не дать доступ тем, кому не надо и дать тому, кому надо, при необходимости.
> их... ;-) ), а остановить службу сервера (единственный
> работающий совет) на своем компе я не могу - через него
> расшарен принтер и еще одна нужная мне папка?
>
> Идеально было бы, если бы попытка посмотреть с других
> компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не
> как сейчас "введите логин/пароль".
Ну и... Не ввел пароль или ввел неправильный пароль - пошел на ... Самому надо залезть с другого компа - ввел правильный пароль и пожалуйста. А доменным юзерам порезать доступ. Точнее там стоит право по умолчанию доступ для всех на корень С:.
|
| |
все-таки хочется: закрыть... 29.08.06 14:52
Автор: Zomby Статус: Незарегистрированный пользователь
|
> Сначала надо определиться, что все-таки хочется: закрыть
> шары или закрыть доступ к инфе.
Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно. Но шары "\\myComp\export,\\myComp\Printer" должны остаться!
> Все это делается правами. Наличие шар и прав у кого надо
> позволяют не дать доступ тем, кому не надо и дать тому,
> кому надо, при необходимости.
Кхм... я не имею доступа к правам домена, только к локальным правам. Можно пример для такого случая? Как разделить права на разные шары, а не запретить доступ доменным юзерам вообще?
> Ну и... Не ввел пароль или ввел неправильный пароль - пошел
> на ... Самому надо залезть с другого компа - ввел
> правильный пароль и пожалуйста. А доменным юзерам порезать
> доступ. Точнее там стоит право по умолчанию доступ для всех
> на корень С:.
Где "там"? В свойствах диска С, закладка Шаринг, указание выбора "not share" действует лишь до перезагрузки. А кнопка прав дает вместо обычного списка предупреждение: этот шаринг только для административных целей!
Или вы имеете в виду поменять права доступа не для собственно шаринга, а для всех файлов на диске (корень и далее), кроме папки "\export" (закладка Безопасность)? Это и долго (хоть и однократно), но главное я боюсь ошибиться и закрыть доступ так, что ни я ничего не смогу читать, ни система грузиться не будет... :(
Можете ли привести пример списка прав?
Есть еще одна идея, но я тоже боюсь ее пробовать... снять шаринг, созданный автоматом, и снова зашарить вручную с тем же именем, но с доступом лишь для меня. Можно так сделать или нет?
|
| | |
На права на шары можно наплевать (у системных шар все равно... 29.08.06 19:20
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 19:21 Количество правок: 1
|
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?
На права на шары можно наплевать (у системных шар все равно их подправить не получится). Работаем с правами на файлы.
> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!
В свойствах рядом с закладкой SHARING/ШАРЫ должна быть закладка SECURITY/БЕЗОПАСНОСТЬ (или что-нибудь в этом духе, на сколько я припоминаю русифицированные винды, которых сейчас нет под рукой).
Идея в том, что нельзя исправить шарами, можно исправить другими правами доступа. Шарами эта задача не решается, поскольку если каким-либо образом (например остановкой службы или сетевым фильтром) перекрывается доступ к системным шарам, то и обычные шары видны не будут. Приоритет системным, то есть если есть возможность создать обычные шары, то и системные будут существовать.
> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?
Можно, но для начала нужно понять какие права имеют пользователи домена, которым нужно ограничить доступ.
В принципе все просто. Винды имеют системную шару, чтоб Админы могли получить доступ. ЕЕ права нельзя менять, чтоб не нарушить безопасномть (случайно), а именно Админы имеют доступ, а все остальные не должны иметь доступ.
В худшем случае, если (по тупости и ленности Админа) все пользователи в группе Админов (чтоб не замарачиваться с правами), то можно и админам "перекрыть доступ", но только так, что лохи не догадаются как его себе вернуть.
Много чего возможно, но сначала узнайте кто и какие права имеет, все шары на компе, права на корень диска.
> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
|
| | |
Я что то не пойму, у вас что на административные шары доступ... 29.08.06 15:29
Автор: Cyril <sc> Статус: Member
|
>
> > Сначала надо определиться, что все-таки хочется:
> закрыть
> > шары или закрыть доступ к инфе.
> Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно.
> Но шары "\\myComp\export,\\myComp\Printer" должны остаться!
Я что то не пойму, у вас что на административные шары доступ у всех пользователей домена???
Они что все администраторы домена ;-)
Или на каждой машине прописан пользователь с правами локального админа ???
>
> > Все это делается правами. Наличие шар и прав у кого
> надо
> > позволяют не дать доступ тем, кому не надо и дать
> тому,
> > кому надо, при необходимости.
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?
Для шар которые ты сам создал задаешь права самостоятельно
для админских шар, туда имеют доступ только локальный админ компа и админы домена, по
крайней мере мне так казалось
>
> > Ну и... Не ввел пароль или ввел неправильный пароль -
> пошел
> > на ... Самому надо залезть с другого компа - ввел
> > правильный пароль и пожалуйста. А доменным юзерам
> порезать
> > доступ. Точнее там стоит право по умолчанию доступ для
> всех
> > на корень С:.
> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!
>
> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?
>
> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
|
|
странно, шары такие не закрываю, но тем не менее идиотом... 29.08.06 09:37
Автор: michaek Статус: Незарегистрированный пользователь
|
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать. Мне идиотом быть не хочется, но по поиску
> "снять шаринг" я нашел только пару очень старых тредов и то
> с неподходящим советом:
странно, шары такие не закрываю, но тем не менее идиотом себя при этом не чувствую, где грабли?
|
| |
Дык это не совсем то... 29.08.06 14:25
Автор: Zomby Статус: Незарегистрированный пользователь
|
Это описано для сервера 2003. А на 2000 и ХП нет в этом месте (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters) такого ключа!
В одной из указанных мною ранее ссылок похожий совет был, так я потому и спросил снова, что key AutoShareServer нет у меня в регистре вообще!
Может надо его самому создать? Попробую...
|
| | |
Да не, именно то;) 30.08.06 20:24
Автор: JINN <Sergey> Статус: Elderman
|
> Это описано для сервера 2003. А на 2000 и ХП нет в этом
> месте
> (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanma
> nserver\parameters) такого ключа!
FAQ: Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?
http://tera.certa.ru/projects/kb/11-12/
> Может надо его самому создать? Попробую...
добавьте или измените следующие значения
и плюс
Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
|
| | | |
net share ipc$ /delete... 30.08.06 21:46
Автор: Killer{R} <Dmitry> Статус: Elderman
|
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
Почему бы вместо всего этого не сделать банальный net stop server :)
|
| | | | |
Цитирую: Но шары "\\myComp\export,\\myComp\Printer" должны остаться! [конец цитаты]. 31.08.06 14:15
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
|
| | | | | |
net share ipc$ /delete 31.08.06 16:05
Автор: Killer{R} <Dmitry> Статус: Elderman
|
Если умудриться закрыть ipc$ то никакая шара не будет доступна
Но
C:\Program Files\Far>net share ipc$ /delete
System error 5 has occurred.
Access is denied.
|
| | |
AutoShareWks 29.08.06 14:29
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 29.08.06 14:30 Количество правок: 1
|
AutoShareWks
Добавить самому, использовать аналогично (но для не серверных виндов), действует после ребута.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
