информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыАтака на InternetЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Цитирую: Но шары "\\myComp\export,\\myComp\Printer" должны остаться! [конец цитаты]. 31.08.06 14:15  Число просмотров: 2803
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
<beginners>
Как запретить просмотр дисков из сети (снять шаринг С$)? 28.08.06 19:01  
Автор: Zomby Статус: Незарегистрированный пользователь
Отредактировано 28.08.06 19:08  Количество правок: 1
<"чистая" ссылка>
Простите за ламерский вопрос, везде пишут "идиоты оставили на компе секретарши доступ к диску С$", но не пишут как этого избежать. Мне идиотом быть не хочется, но по поиску "снять шаринг" я нашел только пару очень старых тредов и то с неподходящим советом: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=17097
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=74389

Как же все-таки убрать видимость по умолчанию дисков C$, D$, на машинах Win2000, WinXP, если машина в доменной сети, я на ней локальный админ, но доменные юзера могут по умолчанию логиниться на любом компе и соответственно со своими логинами/паролями просматривать мои диски (как и я их... ;-) ), а остановить службу сервера (единственный работающий совет) на своем компе я не могу - через него расшарен принтер и еще одна нужная мне папка?

Идеально было бы, если бы попытка посмотреть с других компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не как сейчас "введите логин/пароль".
выдержка из мануала по конфигу компов 29.08.06 18:15  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 29.08.06 18:19  Количество правок: 1
<"чистая" ссылка>
1 Файловая система на всех жестких дисках должна быть NTFS.
2 Пароль локального администратора для компьютеров в подразделении является стандартным и формируется в отделе ИТ.
3 Локальная группа «Администраторы» компьютера должна содержать следующие записи:
- Администратор
- домен\Domain Admins
- домен\Отдел ИТ
4. Права доступа к файловой системе, начиная с корневого каталога диска C:, устанавливаются следующим образом:
- SYSTEM – полный доступ
- «Администраторы» – полный доступ
- «Опытные пользователи» – изменение
- «Пользователи» – чтение и выполнение
5. Запись «Все» должна быть удалена из списков доступа любого каталога.
6. Для офисных компьютеров на каталог C:\Program Files\ВашаКорпорративнаяСофта для группы «Пользователи» устанавливаются права на изменение.

подразумевается, что все юзеры присутствуют только в Domain Users и получают права группы "пользователи", следовательно напакостить у себя в компе, или у других-не могут
имеют доступ только к своему профилю, ну, и посмотреть/выполнить могут чучуть :)
для работы хватает

p.s. у меня это все настроено в образе, который я заливаю во все компы
если хочется порядка и полной ясности в том, что творится в организации - мой совет - создавай образ, настраивай его от-и-до, включай туда весь стандартный софт - чтобы вся установка - от включения компа и до логина юзера не занимала больше 30 минут - и переставляй все компы в организации
тогда тебе будет удобно и ставить новые компы и восстанавливать компы после глюков
Сначала надо определиться, что все-таки хочется: закрыть... 29.08.06 10:14  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 10:18  Количество правок: 3
<"чистая" ссылка>
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать.
> Как же все-таки убрать видимость по умолчанию дисков C$,
> D$, на машинах Win2000, WinXP, если машина в доменной сети,
> я на ней локальный админ, но доменные юзера могут по

Сначала надо определиться, что все-таки хочется: закрыть шары или закрыть доступ к инфе.

> умолчанию логиниться на любом компе и соответственно со
> своими логинами/паролями просматривать мои диски (как и я

Все это делается правами. Наличие шар и прав у кого надо позволяют не дать доступ тем, кому не надо и дать тому, кому надо, при необходимости.

> их... ;-) ), а остановить службу сервера (единственный
> работающий совет) на своем компе я не могу - через него
> расшарен принтер и еще одна нужная мне папка?
>
> Идеально было бы, если бы попытка посмотреть с других
> компов "\\myComp\C$" выдавала бы "нет такого ресурса", а не
> как сейчас "введите логин/пароль".

Ну и... Не ввел пароль или ввел неправильный пароль - пошел на ... Самому надо залезть с другого компа - ввел правильный пароль и пожалуйста. А доменным юзерам порезать доступ. Точнее там стоит право по умолчанию доступ для всех на корень С:.
все-таки хочется: закрыть... 29.08.06 14:52  
Автор: Zomby Статус: Незарегистрированный пользователь
<"чистая" ссылка>

> Сначала надо определиться, что все-таки хочется: закрыть
> шары или закрыть доступ к инфе.
Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно. Но шары "\\myComp\export,\\myComp\Printer" должны остаться!

> Все это делается правами. Наличие шар и прав у кого надо
> позволяют не дать доступ тем, кому не надо и дать тому,
> кому надо, при необходимости.
Кхм... я не имею доступа к правам домена, только к локальным правам. Можно пример для такого случая? Как разделить права на разные шары, а не запретить доступ доменным юзерам вообще?

> Ну и... Не ввел пароль или ввел неправильный пароль - пошел
> на ... Самому надо залезть с другого компа - ввел
> правильный пароль и пожалуйста. А доменным юзерам порезать
> доступ. Точнее там стоит право по умолчанию доступ для всех
> на корень С:.
Где "там"? В свойствах диска С, закладка Шаринг, указание выбора "not share" действует лишь до перезагрузки. А кнопка прав дает вместо обычного списка предупреждение: этот шаринг только для административных целей!

Или вы имеете в виду поменять права доступа не для собственно шаринга, а для всех файлов на диске (корень и далее), кроме папки "\export" (закладка Безопасность)? Это и долго (хоть и однократно), но главное я боюсь ошибиться и закрыть доступ так, что ни я ничего не смогу читать, ни система грузиться не будет... :(
Можете ли привести пример списка прав?

Есть еще одна идея, но я тоже боюсь ее пробовать... снять шаринг, созданный автоматом, и снова зашарить вручную с тем же именем, но с доступом лишь для меня. Можно так сделать или нет?
На права на шары можно наплевать (у системных шар все равно... 29.08.06 19:20  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.08.06 19:21  Количество правок: 1
<"чистая" ссылка>
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?

На права на шары можно наплевать (у системных шар все равно их подправить не получится). Работаем с правами на файлы.

> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!

В свойствах рядом с закладкой SHARING/ШАРЫ должна быть закладка SECURITY/БЕЗОПАСНОСТЬ (или что-нибудь в этом духе, на сколько я припоминаю русифицированные винды, которых сейчас нет под рукой).

Идея в том, что нельзя исправить шарами, можно исправить другими правами доступа. Шарами эта задача не решается, поскольку если каким-либо образом (например остановкой службы или сетевым фильтром) перекрывается доступ к системным шарам, то и обычные шары видны не будут. Приоритет системным, то есть если есть возможность создать обычные шары, то и системные будут существовать.

> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?

Можно, но для начала нужно понять какие права имеют пользователи домена, которым нужно ограничить доступ.
В принципе все просто. Винды имеют системную шару, чтоб Админы могли получить доступ. ЕЕ права нельзя менять, чтоб не нарушить безопасномть (случайно), а именно Админы имеют доступ, а все остальные не должны иметь доступ.
В худшем случае, если (по тупости и ленности Админа) все пользователи в группе Админов (чтоб не замарачиваться с правами), то можно и админам "перекрыть доступ", но только так, что лохи не догадаются как его себе вернуть.
Много чего возможно, но сначала узнайте кто и какие права имеет, все шары на компе, права на корень диска.

> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
Я что то не пойму, у вас что на административные шары доступ... 29.08.06 15:29  
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
>
> > Сначала надо определиться, что все-таки хочется:
> закрыть
> > шары или закрыть доступ к инфе.
> Закрыть доступ. Останутся ли ЭТИ шары (C$,D$) - неважно.
> Но шары "\\myComp\export,\\myComp\Printer" должны остаться!
Я что то не пойму, у вас что на административные шары доступ у всех пользователей домена???
Они что все администраторы домена ;-)
Или на каждой машине прописан пользователь с правами локального админа ???
>
> > Все это делается правами. Наличие шар и прав у кого
> надо
> > позволяют не дать доступ тем, кому не надо и дать
> тому,
> > кому надо, при необходимости.
> Кхм... я не имею доступа к правам домена, только к
> локальным правам. Можно пример для такого случая? Как
> разделить права на разные шары, а не запретить доступ
> доменным юзерам вообще?
Для шар которые ты сам создал задаешь права самостоятельно
для админских шар, туда имеют доступ только локальный админ компа и админы домена, по
крайней мере мне так казалось
>
> > Ну и... Не ввел пароль или ввел неправильный пароль -
> пошел
> > на ... Самому надо залезть с другого компа - ввел
> > правильный пароль и пожалуйста. А доменным юзерам
> порезать
> > доступ. Точнее там стоит право по умолчанию доступ для
> всех
> > на корень С:.
> Где "там"? В свойствах диска С, закладка Шаринг, указание
> выбора "not share" действует лишь до перезагрузки. А кнопка
> прав дает вместо обычного списка предупреждение: этот
> шаринг только для административных целей!
>
> Или вы имеете в виду поменять права доступа не для
> собственно шаринга, а для всех файлов на диске (корень и
> далее), кроме папки "\export" (закладка Безопасность)? Это
> и долго (хоть и однократно), но главное я боюсь ошибиться и
> закрыть доступ так, что ни я ничего не смогу читать, ни
> система грузиться не будет... :(
> Можете ли привести пример списка прав?
>
> Есть еще одна идея, но я тоже боюсь ее пробовать... снять
> шаринг, созданный автоматом, и снова зашарить вручную с тем
> же именем, но с доступом лишь для меня. Можно так сделать
> или нет?
странно, шары такие не закрываю, но тем не менее идиотом... 29.08.06 09:37  
Автор: michaek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Простите за ламерский вопрос, везде пишут "идиоты оставили
> на компе секретарши доступ к диску С$", но не пишут как
> этого избежать. Мне идиотом быть не хочется, но по поиску
> "снять шаринг" я нашел только пару очень старых тредов и то
> с неподходящим советом:

странно, шары такие не закрываю, но тем не менее идиотом себя при этом не чувствую, где грабли?
Дык KB816524 28.08.06 19:31  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>


http://support.microsoft.com/kb/816524/en-us
Дык это не совсем то... 29.08.06 14:25  
Автор: Zomby Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Это описано для сервера 2003. А на 2000 и ХП нет в этом месте (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters) такого ключа!
В одной из указанных мною ранее ссылок похожий совет был, так я потому и спросил снова, что key AutoShareServer нет у меня в регистре вообще!
Может надо его самому создать? Попробую...
Да не, именно то;) 30.08.06 20:24  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> Это описано для сервера 2003. А на 2000 и ХП нет в этом
> месте
> (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanma
> nserver\parameters) такого ключа!
FAQ: Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?
http://tera.certa.ru/projects/kb/11-12/

> Может надо его самому создать? Попробую...
добавьте или измените следующие значения
и плюс
Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
net share ipc$ /delete... 30.08.06 21:46  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete


Почему бы вместо всего этого не сделать банальный net stop server :)
Цитирую: Но шары "\\myComp\export,\\myComp\Printer" должны остаться! [конец цитаты]. 31.08.06 14:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
net share ipc$ /delete 31.08.06 16:05  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Если умудриться закрыть ipc$ то никакая шара не будет доступна
Но
C:\Program Files\Far>net share ipc$ /delete
System error 5 has occurred.

Access is denied.
AutoShareWks 29.08.06 14:29  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 29.08.06 14:30  Количество правок: 1
<"чистая" ссылка>
AutoShareWks
Добавить самому, использовать аналогично (но для не серверных виндов), действует после ребута.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach