информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Спасибо за ответ. Я это и имел ввиду. 08.06.06 03:57  Число просмотров: 2291
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
<sysadmin>
Everyone W2003 07.06.06 05:10  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
В домене W2k два файл серевера W2003 (Dell с предустановленным файл сервером).
Досталось по наследству. История больных такова:
Админы сделали диски Share (не X$). Поскольку они секурити специалисты были по совместительству, то удалили все _permission _ для Everyone. Разрешения (Share + NTFS Permission раздавали персонально) .

Появилось на этих серверах два эфекта:
1) Невозможно создать на этих дисках Share обычным способом, основываясь на Groups (access denied). Можно обеспечить сетевой доступ только, дав разрашения и NTFS permission отдельным user-ам.
2) Попытка применить стандартный секурный шаблон GPO для рабочих станций приводит к краху сразу после обновления политики на хостах. Юзеры отконекчиваются.

Думаю вернуть всё взад, дав ntfspermissiomeveryone для всех дисков.
Как думаете? Таблетка поможет?

Спасибо.

ПС. На W2k хостах, что сам взводил и ничего не ломал - всё Ок. Там Share создаются обычным образом.
В данном случае NTFS разрешения перекрывают разрешения... 07.06.06 11:35  
Автор: Cyril <sc> Статус: Member
Отредактировано 07.06.06 11:53  Количество правок: 1
<"чистая" ссылка>
> В домене W2k два файл серевера W2003 (Dell с
> предустановленным файл сервером).
> Досталось по наследству. История больных такова:
> Админы сделали диски Share (не X$). Поскольку они секурити
> специалисты были по совместительству, то удалили все
> _permission _ для Everyone. Разрешения (Share + NTFS
> Permission раздавали персонально) .
>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
В данном случае NTFS разрешения перекрывают разрешения Share
для подключений через сетевой ресурс
NTFS FULL + SHARE READ = READ
NTFS READ + SHARE FULL = READ

Можно дать everyone полный доступ(так по умолчанию сделано в W2k) и тогда только разрешения выставленные посредством Share будут иметь значение и определять конечный доступ

Однако если кто-то получить локальный доступ с правами пользователя (например уязвимость в сервисе запущенном от имени пользователя), то он получает полный доступ к данным (для него будут действовать только NTFS пермишены, а они по умолчанию Full) что ни есть гуд. Поэтому в расстановке ограничений посредством share и ntfs пермишенов есть свой смысл

> 2) Попытка применить стандартный секурный шаблон GPO для
> рабочих станций приводит к краху сразу после обновления
> политики на хостах. Юзеры отконекчиваются.
>
> Думаю вернуть всё взад, дав ntfspermissiomeveryone для
> всех дисков.
> Как думаете? Таблетка поможет?

>
> Спасибо.
>
> ПС. На W2k хостах, что сам взводил и ничего не ломал - всё
> Ок. Там Share создаются обычным образом.
Чуток добавлю про отдельных юзеров 07.06.06 23:12  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.

Старайся и в шаре и НТФС пермишенах в списки доступа добавлять группы а не отдельных юзеров, хотя и не всегда удобно в случае со срочным доступом (Group membership у пользователя обновляется только во время следующего логона) но возьми это за правило и в дальнейшем будет проще управлять доступом на уровне групп а не отдельных пользователей.
Спасибо за ответ. Я это и имел ввиду. 08.06.06 03:57  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach