информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Хочу я вот что 06.09.06 12:34  Число просмотров: 2844
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
есть сервер. парооль на нетоп знаю только я. а залогиниться по терминалу могут и другие админы удаленно. я хочу чтобы они не могли. НО! выставить им запрет в явном виде не хотелось бы чтобы не ругаться(я в отпуск уеду, если запрет обнаружится будет скандал) а если я просто прибью терминалку, то как бы не мои проблемы что сервак не поддерживает терминал, я типа даже и не знал об этом потому что юзал нетОП.. вот такая штука.

> > чтобы штатным "удаленным" нельзя было подключаться?
>
> Не совсем понятно, что именно ты хочешь.
> Откуда и через что подключаются удаленные? Через модем по
> PPP?
>
> З.Ы. Совсем уж кординально, можно в политике "Отказ в
> доступе к компьютеру из сети" поставить что-нибудь типа
> EVERYONE. И не забудь, что локальные политики перекрываются
> доменными.
<sysadmin>
win2003server. как отключить удаленный доступ? 06.09.06 10:35  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
чтобы штатным "удаленным" нельзя было подключаться?
Не совсем понятно, что именно ты хочешь. 06.09.06 11:57  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> чтобы штатным "удаленным" нельзя было подключаться?

Не совсем понятно, что именно ты хочешь.
Откуда и через что подключаются удаленные? Через модем по PPP?

З.Ы. Совсем уж кординально, можно в политике "Отказ в доступе к компьютеру из сети" поставить что-нибудь типа EVERYONE. И не забудь, что локальные политики перекрываются доменными.
Хочу я вот что 06.09.06 12:34  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
есть сервер. парооль на нетоп знаю только я. а залогиниться по терминалу могут и другие админы удаленно. я хочу чтобы они не могли. НО! выставить им запрет в явном виде не хотелось бы чтобы не ругаться(я в отпуск уеду, если запрет обнаружится будет скандал) а если я просто прибью терминалку, то как бы не мои проблемы что сервак не поддерживает терминал, я типа даже и не знал об этом потому что юзал нетОП.. вот такая штука.

> > чтобы штатным "удаленным" нельзя было подключаться?
>
> Не совсем понятно, что именно ты хочешь.
> Откуда и через что подключаются удаленные? Через модем по
> PPP?
>
> З.Ы. Совсем уж кординально, можно в политике "Отказ в
> доступе к компьютеру из сети" поставить что-нибудь типа
> EVERYONE. И не забудь, что локальные политики перекрываются
> доменными.
TCP/IP фильтрация на адаптере и пусть кто догадается..... =) 20.10.06 15:00  
Автор: ... Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А файрволом разрулить почему не прокатит? 06.09.06 18:21  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
а если убрать у пользователей права Remote Desktop Users? 06.09.06 11:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> чтобы штатным "удаленным" нельзя было подключаться?

или просто выключить отсюда:
мой компьютер -> свойства -> удаленные сеансы

еще - посмотреть на сервисы "Remote бла-бла-бла", думаю, если "Remote Desktop Help Manager" задизаблить, скорее всего, удаленным подключиться не получится
Если бы было так всё просто я б не спрашивал :))) 06.09.06 11:41  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
не, надо чтобы вообще такое подключение было невозможно а работал только сторонный удаленный клиент NetOP

> > чтобы штатным "удаленным" нельзя было подключаться?
>
> или просто выключить отсюда:
> мой компьютер -> свойства -> удаленные сеансы

на сервере эта галочка недоступна!! это не ХР.
ну совсем дятлом считать меня не надо.

>
> еще - посмотреть на сервисы "Remote бла-бла-бла", думаю,
> если "Remote Desktop Help Manager" задизаблить, скорее
> всего, удаленным подключиться не получится

да. но вопрос что при этом еще отвалится? :)
Вообще то данная галка присутствует на Win2003 06.09.06 16:47  
Автор: Cyril <sc> Статус: Member
Отредактировано 06.09.06 16:57  Количество правок: 1
<"чистая" ссылка>
> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
>
> > > чтобы штатным "удаленным" нельзя было
> подключаться?
> >
> > или просто выключить отсюда:
> > мой компьютер -> свойства -> удаленные сеансы
>
> на сервере эта галочка недоступна!! это не ХР.
> ну совсем дятлом считать меня не надо.
Вообще то данная галка присутствует на Win2003
Запущена ли служба terminal services,
пробовали ли вы подключаться к удаленному рабочему столу
может подключение и не работает???

Можно поменять порт используемый для подключения на какой либо другой

Изменение ожидающего порта для удаленного рабочего стола
Попробуй в настройке служб терминалов в свойствах RDP коннектора запретить подключение всем пользователям в любое время 06.09.06 12:26  
Автор: Anthrax Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А с чего ты взял, что NetOP работать не будет? 06.09.06 12:14  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 06.09.06 12:14  Количество правок: 2
<"чистая" ссылка>
Судя по его описанию, он вообще на всем подряд работает. не думаю, что он привязан к RDesktop-u виндовому.
Надо попробовать его просто )

> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
я так не думал. 06.09.06 12:31  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> Судя по его описанию, он вообще на всем подряд работает. не
> думаю, что он привязан к RDesktop-u виндовому.
> Надо попробовать его просто )
>
> > не, надо чтобы вообще такое подключение было
> невозможно а
> > работал только сторонный удаленный клиент NetOP

я боюсь как бы какие-нить другие сервисы сервера не были завязаны.. впрочем это же можно в связях посмотреть...
В свете того, что тебе нужно - скажу ) 06.09.06 13:25  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
смысла большого блокировать РемотеДесктоп - нет
причины:
1. админ - если у него есть админские права на машину может легко удаленно поставить такую вещь как DameWare
2. он может подключиться удаленно к управлению сервисами и включить выключенный ремоте десктоп (если сервис будет вырублен)
3. не думаю, что один админ в состоянии что-то запредить другому, не урезая его в правах

вижу только одно решение - убрать все права у всех кроме себя :)


> > Судя по его описанию, он вообще на всем подряд
> работает. не
> > думаю, что он привязан к RDesktop-u виндовому.
> > Надо попробовать его просто )
> >
> > > не, надо чтобы вообще такое подключение было
> > невозможно а
> > > работал только сторонный удаленный клиент NetOP
>
> я боюсь как бы какие-нить другие сервисы сервера не были
> завязаны.. впрочем это же можно в связях посмотреть...
мну бы всё же сделать 06.09.06 13:35  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> смысла большого блокировать РемотеДесктоп - нет
> причины:
> 1. админ - если у него есть админские права на машину может
> легко удаленно поставить такую вещь как DameWare

готов спорить на батл пива что они не знают что это и как это :))))

> 2. он может подключиться удаленно к управлению сервисами и
> включить выключенный ремоте десктоп (если сервис будет
> вырублен)

теоретически да, если догадается.. большие сомнения

> 3. не думаю, что один админ в состоянии что-то запредить
> другому, не урезая его в правах
>
> вижу только одно решение - убрать все права у всех кроме
> себя :)

но перехитрить можно

>
>
> > > Судя по его описанию, он вообще на всем подряд
> > работает. не
> > > думаю, что он привязан к RDesktop-u виндовому.
> > > Надо попробовать его просто )
> > >
> > > > не, надо чтобы вообще такое подключение было
> > > невозможно а
> > > > работал только сторонный удаленный клиент
> NetOP
> >
> > я боюсь как бы какие-нить другие сервисы сервера не
> были
> > завязаны.. впрочем это же можно в связях посмотреть...
Возможно я не прав... 06.09.06 11:42  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
>
> > > чтобы штатным "удаленным" нельзя было
> подключаться?
> >
> > или просто выключить отсюда:
> > мой компьютер -> свойства -> удаленные сеансы
>
> на сервере эта галочка недоступна!! это не ХР.
> ну совсем дятлом считать меня не надо.
>
> >
> > еще - посмотреть на сервисы "Remote бла-бла-бла",
> думаю,
> > если "Remote Desktop Help Manager" задизаблить, скорее
> > всего, удаленным подключиться не получится
>
> да. но вопрос что при этом еще отвалится? :)
Но если убрать пользователей из группы Remote Desktop?
посмотрел. там нет ни одного 06.09.06 11:52  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Re: посмотрел. там нет ни одного 13.09.06 13:25  
Автор: ВНЬ Статус: Незарегистрированный пользователь
Отредактировано 13.09.06 13:26  Количество правок: 1
<"чистая" ссылка>
Батенька, ВСЕ, входящие в группу Administrators автоматически имеют права заходить RDP. Вне зависимости от того, есть они в RemoteDesktopUsers или нет.
Создай еще одну группу, включи ее в группу админов, но отбери у них права на реестр, RDP, и т.д.
Правила запрета превалируют над разрешениями.
На некоторое время хватит, но найдется кто-то, и поймет, в чем фокус.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach