информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Страшный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
мну бы всё же сделать 06.09.06 13:35  Число просмотров: 2751
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> смысла большого блокировать РемотеДесктоп - нет
> причины:
> 1. админ - если у него есть админские права на машину может
> легко удаленно поставить такую вещь как DameWare

готов спорить на батл пива что они не знают что это и как это :))))

> 2. он может подключиться удаленно к управлению сервисами и
> включить выключенный ремоте десктоп (если сервис будет
> вырублен)

теоретически да, если догадается.. большие сомнения

> 3. не думаю, что один админ в состоянии что-то запредить
> другому, не урезая его в правах
>
> вижу только одно решение - убрать все права у всех кроме
> себя :)

но перехитрить можно

>
>
> > > Судя по его описанию, он вообще на всем подряд
> > работает. не
> > > думаю, что он привязан к RDesktop-u виндовому.
> > > Надо попробовать его просто )
> > >
> > > > не, надо чтобы вообще такое подключение было
> > > невозможно а
> > > > работал только сторонный удаленный клиент
> NetOP
> >
> > я боюсь как бы какие-нить другие сервисы сервера не
> были
> > завязаны.. впрочем это же можно в связях посмотреть...
<sysadmin>
win2003server. как отключить удаленный доступ? 06.09.06 10:35  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
чтобы штатным "удаленным" нельзя было подключаться?
Не совсем понятно, что именно ты хочешь. 06.09.06 11:57  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> чтобы штатным "удаленным" нельзя было подключаться?

Не совсем понятно, что именно ты хочешь.
Откуда и через что подключаются удаленные? Через модем по PPP?

З.Ы. Совсем уж кординально, можно в политике "Отказ в доступе к компьютеру из сети" поставить что-нибудь типа EVERYONE. И не забудь, что локальные политики перекрываются доменными.
Хочу я вот что 06.09.06 12:34  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
есть сервер. парооль на нетоп знаю только я. а залогиниться по терминалу могут и другие админы удаленно. я хочу чтобы они не могли. НО! выставить им запрет в явном виде не хотелось бы чтобы не ругаться(я в отпуск уеду, если запрет обнаружится будет скандал) а если я просто прибью терминалку, то как бы не мои проблемы что сервак не поддерживает терминал, я типа даже и не знал об этом потому что юзал нетОП.. вот такая штука.

> > чтобы штатным "удаленным" нельзя было подключаться?
>
> Не совсем понятно, что именно ты хочешь.
> Откуда и через что подключаются удаленные? Через модем по
> PPP?
>
> З.Ы. Совсем уж кординально, можно в политике "Отказ в
> доступе к компьютеру из сети" поставить что-нибудь типа
> EVERYONE. И не забудь, что локальные политики перекрываются
> доменными.
TCP/IP фильтрация на адаптере и пусть кто догадается..... =) 20.10.06 15:00  
Автор: ... Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А файрволом разрулить почему не прокатит? 06.09.06 18:21  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
а если убрать у пользователей права Remote Desktop Users? 06.09.06 11:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> чтобы штатным "удаленным" нельзя было подключаться?

или просто выключить отсюда:
мой компьютер -> свойства -> удаленные сеансы

еще - посмотреть на сервисы "Remote бла-бла-бла", думаю, если "Remote Desktop Help Manager" задизаблить, скорее всего, удаленным подключиться не получится
Если бы было так всё просто я б не спрашивал :))) 06.09.06 11:41  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
не, надо чтобы вообще такое подключение было невозможно а работал только сторонный удаленный клиент NetOP

> > чтобы штатным "удаленным" нельзя было подключаться?
>
> или просто выключить отсюда:
> мой компьютер -> свойства -> удаленные сеансы

на сервере эта галочка недоступна!! это не ХР.
ну совсем дятлом считать меня не надо.

>
> еще - посмотреть на сервисы "Remote бла-бла-бла", думаю,
> если "Remote Desktop Help Manager" задизаблить, скорее
> всего, удаленным подключиться не получится

да. но вопрос что при этом еще отвалится? :)
Вообще то данная галка присутствует на Win2003 06.09.06 16:47  
Автор: Cyril <sc> Статус: Member
Отредактировано 06.09.06 16:57  Количество правок: 1
<"чистая" ссылка>
> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
>
> > > чтобы штатным "удаленным" нельзя было
> подключаться?
> >
> > или просто выключить отсюда:
> > мой компьютер -> свойства -> удаленные сеансы
>
> на сервере эта галочка недоступна!! это не ХР.
> ну совсем дятлом считать меня не надо.
Вообще то данная галка присутствует на Win2003
Запущена ли служба terminal services,
пробовали ли вы подключаться к удаленному рабочему столу
может подключение и не работает???

Можно поменять порт используемый для подключения на какой либо другой

Изменение ожидающего порта для удаленного рабочего стола
Попробуй в настройке служб терминалов в свойствах RDP коннектора запретить подключение всем пользователям в любое время 06.09.06 12:26  
Автор: Anthrax Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А с чего ты взял, что NetOP работать не будет? 06.09.06 12:14  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 06.09.06 12:14  Количество правок: 2
<"чистая" ссылка>
Судя по его описанию, он вообще на всем подряд работает. не думаю, что он привязан к RDesktop-u виндовому.
Надо попробовать его просто )

> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
я так не думал. 06.09.06 12:31  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> Судя по его описанию, он вообще на всем подряд работает. не
> думаю, что он привязан к RDesktop-u виндовому.
> Надо попробовать его просто )
>
> > не, надо чтобы вообще такое подключение было
> невозможно а
> > работал только сторонный удаленный клиент NetOP

я боюсь как бы какие-нить другие сервисы сервера не были завязаны.. впрочем это же можно в связях посмотреть...
В свете того, что тебе нужно - скажу ) 06.09.06 13:25  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
смысла большого блокировать РемотеДесктоп - нет
причины:
1. админ - если у него есть админские права на машину может легко удаленно поставить такую вещь как DameWare
2. он может подключиться удаленно к управлению сервисами и включить выключенный ремоте десктоп (если сервис будет вырублен)
3. не думаю, что один админ в состоянии что-то запредить другому, не урезая его в правах

вижу только одно решение - убрать все права у всех кроме себя :)


> > Судя по его описанию, он вообще на всем подряд
> работает. не
> > думаю, что он привязан к RDesktop-u виндовому.
> > Надо попробовать его просто )
> >
> > > не, надо чтобы вообще такое подключение было
> > невозможно а
> > > работал только сторонный удаленный клиент NetOP
>
> я боюсь как бы какие-нить другие сервисы сервера не были
> завязаны.. впрочем это же можно в связях посмотреть...
мну бы всё же сделать 06.09.06 13:35  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> смысла большого блокировать РемотеДесктоп - нет
> причины:
> 1. админ - если у него есть админские права на машину может
> легко удаленно поставить такую вещь как DameWare

готов спорить на батл пива что они не знают что это и как это :))))

> 2. он может подключиться удаленно к управлению сервисами и
> включить выключенный ремоте десктоп (если сервис будет
> вырублен)

теоретически да, если догадается.. большие сомнения

> 3. не думаю, что один админ в состоянии что-то запредить
> другому, не урезая его в правах
>
> вижу только одно решение - убрать все права у всех кроме
> себя :)

но перехитрить можно

>
>
> > > Судя по его описанию, он вообще на всем подряд
> > работает. не
> > > думаю, что он привязан к RDesktop-u виндовому.
> > > Надо попробовать его просто )
> > >
> > > > не, надо чтобы вообще такое подключение было
> > > невозможно а
> > > > работал только сторонный удаленный клиент
> NetOP
> >
> > я боюсь как бы какие-нить другие сервисы сервера не
> были
> > завязаны.. впрочем это же можно в связях посмотреть...
Возможно я не прав... 06.09.06 11:42  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> не, надо чтобы вообще такое подключение было невозможно а
> работал только сторонный удаленный клиент NetOP
>
> > > чтобы штатным "удаленным" нельзя было
> подключаться?
> >
> > или просто выключить отсюда:
> > мой компьютер -> свойства -> удаленные сеансы
>
> на сервере эта галочка недоступна!! это не ХР.
> ну совсем дятлом считать меня не надо.
>
> >
> > еще - посмотреть на сервисы "Remote бла-бла-бла",
> думаю,
> > если "Remote Desktop Help Manager" задизаблить, скорее
> > всего, удаленным подключиться не получится
>
> да. но вопрос что при этом еще отвалится? :)
Но если убрать пользователей из группы Remote Desktop?
посмотрел. там нет ни одного 06.09.06 11:52  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Re: посмотрел. там нет ни одного 13.09.06 13:25  
Автор: ВНЬ Статус: Незарегистрированный пользователь
Отредактировано 13.09.06 13:26  Количество правок: 1
<"чистая" ссылка>
Батенька, ВСЕ, входящие в группу Administrators автоматически имеют права заходить RDP. Вне зависимости от того, есть они в RemoteDesktopUsers или нет.
Создай еще одну группу, включи ее в группу админов, но отбери у них права на реестр, RDP, и т.д.
Правила запрета превалируют над разрешениями.
На некоторое время хватит, но найдется кто-то, и поймет, в чем фокус.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach