информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Logitech готовится закрыть очередную... 
 Серьёзная атака на инфраструктуру... 
 Microsoft призналась в сознательном... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Спасибо за ответ. Я это и имел ввиду. 08.06.06 03:57  Число просмотров: 1826
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
<sysadmin>
Everyone W2003 07.06.06 05:10  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
В домене W2k два файл серевера W2003 (Dell с предустановленным файл сервером).
Досталось по наследству. История больных такова:
Админы сделали диски Share (не X$). Поскольку они секурити специалисты были по совместительству, то удалили все _permission _ для Everyone. Разрешения (Share + NTFS Permission раздавали персонально) .

Появилось на этих серверах два эфекта:
1) Невозможно создать на этих дисках Share обычным способом, основываясь на Groups (access denied). Можно обеспечить сетевой доступ только, дав разрашения и NTFS permission отдельным user-ам.
2) Попытка применить стандартный секурный шаблон GPO для рабочих станций приводит к краху сразу после обновления политики на хостах. Юзеры отконекчиваются.

Думаю вернуть всё взад, дав ntfspermissiomeveryone для всех дисков.
Как думаете? Таблетка поможет?

Спасибо.

ПС. На W2k хостах, что сам взводил и ничего не ломал - всё Ок. Там Share создаются обычным образом.
В данном случае NTFS разрешения перекрывают разрешения... 07.06.06 11:35  
Автор: Cyril <sc> Статус: Member
Отредактировано 07.06.06 11:53  Количество правок: 1
<"чистая" ссылка>
> В домене W2k два файл серевера W2003 (Dell с
> предустановленным файл сервером).
> Досталось по наследству. История больных такова:
> Админы сделали диски Share (не X$). Поскольку они секурити
> специалисты были по совместительству, то удалили все
> _permission _ для Everyone. Разрешения (Share + NTFS
> Permission раздавали персонально) .
>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
В данном случае NTFS разрешения перекрывают разрешения Share
для подключений через сетевой ресурс
NTFS FULL + SHARE READ = READ
NTFS READ + SHARE FULL = READ

Можно дать everyone полный доступ(так по умолчанию сделано в W2k) и тогда только разрешения выставленные посредством Share будут иметь значение и определять конечный доступ

Однако если кто-то получить локальный доступ с правами пользователя (например уязвимость в сервисе запущенном от имени пользователя), то он получает полный доступ к данным (для него будут действовать только NTFS пермишены, а они по умолчанию Full) что ни есть гуд. Поэтому в расстановке ограничений посредством share и ntfs пермишенов есть свой смысл

> 2) Попытка применить стандартный секурный шаблон GPO для
> рабочих станций приводит к краху сразу после обновления
> политики на хостах. Юзеры отконекчиваются.
>
> Думаю вернуть всё взад, дав ntfspermissiomeveryone для
> всех дисков.
> Как думаете? Таблетка поможет?

>
> Спасибо.
>
> ПС. На W2k хостах, что сам взводил и ничего не ломал - всё
> Ок. Там Share создаются обычным образом.
Чуток добавлю про отдельных юзеров 07.06.06 23:12  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.

Старайся и в шаре и НТФС пермишенах в списки доступа добавлять группы а не отдельных юзеров, хотя и не всегда удобно в случае со срочным доступом (Group membership у пользователя обновляется только во время следующего логона) но возьми это за правило и в дальнейшем будет проще управлять доступом на уровне групп а не отдельных пользователей.
Спасибо за ответ. Я это и имел ввиду. 08.06.06 03:57  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach