Безопасность Win2000server - Операционные системы M$

14.04.2005, 16:46

Есть такая проблемка: в какой-то момент открылся доступ ко всем шарам в системе.Т.е. доступ к автошарам C$ и D$ я закрыл, но осталась возможность удалённого управления выставленными папками, реестром,пользователями и т.д.Вопрос как закрыть эту мульку?

Borland · 14.04.2005, 17:59

Цитата:

Сообщение от AbbeyFaria

Есть такая проблемка: в какой-то момент открылся доступ ко всем шарам в системе.Т.е. доступ к автошарам C$ и D$ я закрыл, но осталась возможность удалённого управления выставленными папками, реестром,пользователями и т.д.Вопрос как закрыть эту мульку?

Управлять всеми этими параметрами удалённо может только член локальной группы "Администраторы". Просто выкинь оттуда всех лишних людей и группы и оставить только тех, кому можно рулить.

15.04.2005, 08:29

Там только те кому нужно там быть, ликальный администратор и админ домена, больше там никого нет, а войти можно всё равно любому безо всёких препятствий

Merlin Cori · 15.04.2005, 09:32

смотри еще права на родительскую папку.. не идет ли оттуда наследование прав

SinClaus · 15.04.2005, 09:48

mmc оснастка "Управление групповой безопасностью локального компьютера" дает возможность просмотреть и поменять все параметры всех шар. Название пишу по памяти и в переводе - сейчас не могу посмотреть.

15.04.2005, 12:01

Что-то непомогает....

Grek · 15.04.2005, 13:02

AbbeyFaria
Так в реестре все это можно поменять

Цитата:

Disable Default Hidden Shares - This keeps Windows from creating the
Admin$, C$, etc. shares (which are security holes) automatically on startup.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\para meters]
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para meters]
"AutoShareServer"=dword:00000000

15.04.2005, 15:25

Grek:

Я знаю об этом, оно при включенных автошарах по идее могли зайти лишь те кто знал пароль админа машины или домена, а получалось что зайти мог любой.Я прописал в реестре и закрыл эти автошары.Но остался доступ к управлению компьютером через оснастку compmgmt.mmc как закрыть её?

Grek · 15.04.2005, 16:09

AbbeyFaria
К compmgmt они подключаются через Admin$ тебе нужно убрать у тех кто может подключаться админские права

15.04.2005, 16:31

Или может кто-нибудь подскажет протокол на котором соединяется удалённо оснастка compmgmt.mmc

Admin$ отключается через отключение автошар из реестра, но это у меня уже отключено,а соединяться всё ещё возможно.Я хочу запретить вообще протокол на котором общаются оснастки между удалёнными компами, если по другому нельзя.

18.04.2005, 13:27

Идей никаких больше не будет по поводу как закрыть доступ к управлению компом из сети в ручную?

SinClaus · 18.04.2005, 15:00

В свойствах шары посмотри Effective Permissions для Domain Users. Если все поля пустые - значит все, кто заходит на эти шары имеют админские полномочия. Если нет - тогда значит в Security неправильно настроено, полезно посмотреть, что покажет gpedit кстати.

15.04.2005, 09:32	# 4
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	смотри еще права на родительскую папку.. не идет ли оттуда наследование прав __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!

15.04.2005, 09:48	# 5
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 328	mmc оснастка "Управление групповой безопасностью локального компьютера" дает возможность просмотреть и поменять все параметры всех шар. Название пишу по памяти и в переводе - сейчас не могу посмотреть. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

15.04.2005, 16:09	# 9
Grek ::VIP:: Регистрация: 26.01.2003 Пол: Male Сообщения: 832	AbbeyFaria К compmgmt они подключаются через Admin$ тебе нужно убрать у тех кто может подключаться админские права __________________ D’ou venons-nous?Que sommes-nous?Ou allons-nous? Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague

18.04.2005, 15:00	# 12
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 328	В свойствах шары посмотри Effective Permissions для Domain Users. Если все поля пустые - значит все, кто заходит на эти шары имеют админские полномочия. Если нет - тогда значит в Security неправильно настроено, полезно посмотреть, что покажет gpedit кстати. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

14.04.2005, 16:46	# 1
AbbeyFaria Guest Сообщения: n/a	Безопасность Win2000server Есть такая проблемка: в какой-то момент открылся доступ ко всем шарам в системе.Т.е. доступ к автошарам C$ и D$ я закрыл, но осталась возможность удалённого управления выставленными папками, реестром,пользователями и т.д.Вопрос как закрыть эту мульку?

15.04.2005, 08:29	# 3
AbbeyFaria Guest Сообщения: n/a	Там только те кому нужно там быть, ликальный администратор и админ домена, больше там никого нет, а войти можно всё равно любому безо всёких препятствий

15.04.2005, 12:01	# 6
AbbeyFaria Guest Сообщения: n/a	Что-то непомогает....

15.04.2005, 15:25	# 8
AbbeyFaria Guest Сообщения: n/a	Grek: Я знаю об этом, оно при включенных автошарах по идее могли зайти лишь те кто знал пароль админа машины или домена, а получалось что зайти мог любой.Я прописал в реестре и закрыл эти автошары.Но остался доступ к управлению компьютером через оснастку compmgmt.mmc как закрыть её?

15.04.2005, 16:31	# 10
AbbeyFaria Guest Сообщения: n/a	Или может кто-нибудь подскажет протокол на котором соединяется удалённо оснастка compmgmt.mmc Admin$ отключается через отключение автошар из реестра, но это у меня уже отключено,а соединяться всё ещё возможно.Я хочу запретить вообще протокол на котором общаются оснастки между удалёнными компами, если по другому нельзя.

18.04.2005, 13:27	# 11
AbbeyFaria Guest Сообщения: n/a	Идей никаких больше не будет по поводу как закрыть доступ к управлению компом из сети в ручную?

Опции темы
Версия для печати Отправить на email