Безопасные разрешения для C$, D$, IPC$... - Безопасность

Anto · 16.11.2004, 15:54

Всегда думал, что C$, D$, IPC$... должны быть разрешены (Permissions)в сетке по умолчанию только админу как минимум данного компа.
Сегодня был шокирован, когда в свойствах этих шар прочитал Все*Полный доступ. Хотя "Все" в моём домене к администраторам никак не относятся (проверил на всякий случай) Действительно на некоторые сетевые C$, D$, IPC$... удаётся попасть из сети под рядовым юзером домена Winnt 4.0. Самое ужасное, что переделать "Permissions" только для Administrator система не даёт. Совсем и навсегда закрывать C$, D$, IPC$ не хочу, т.к. пользуюсь. Наверно кто-то здесь уже хорошо похозяйничал?

Borland · 17.11.2004, 09:41

Anto
Административные шары открыты для всех юзеров локальной группы "Администраторы". Т.е., если Вася Пупкин в домене является guest, а на локальной тачке входит в группу Админов, он всё равно имеет полный доступ ко всем админ. шарам.
Пермишны для этих шар переделать действительно нельзя, так что насчёт "кто-то похозяйничал" - это вряд ли.

FantomIL · 17.11.2004, 10:14

Anto
а почему ты не хочешь закрыть их "совсем и навсегда"? Закрой их, а потом открой нормальные шары и раздай права в соответствии со своими требованиями.

Anto · 17.11.2004, 11:33

Borland, FantomIL
Ясно (хотя угнетает-таки это словечко "Все" по умолчанию), а возможно ли сначала закрыть их "совсем и навсегда" для всех станций домена и сервера PDC (NT 4.0) с помощью доменной политики ?
Когда-то также слышал (2-ой путь?), что изменения для всех реестров рабочих станции домена можно произвести синхронно...
All,
Посоветуйте, пожалуйста, хорошую программулину, что хорошо рулит политиками безопасности домена.

Terrum · 21.11.2004, 18:27

Цитата:

Сообщение от Borland

Административные шары открыты для всех юзеров локальной группы "Администраторы". Т.е., если Вася Пупкин в домене является guest, а на локальной тачке входит в группу Админов, он всё равно имеет полный доступ ко всем админ. шарам.

... своего компа, да. А если комп чужой не совсем так. Этот пример может сработать только если поместить группу "Guests" в состав группы "Администраторы" домена.
Для доступа к админ. шарам сервера (или любого иного компа в сети) все решает то кем является юзер для этого компа - если юзер Nobody со своего компа наберет \\SomeOtherComputer\c$, то он получит доступ к этому ресурсу только если он в этом "SomeOtherComputer" входит в группу Админов и имеет тот-же пароль (или если это домен и "SomeOtherComputer" в домене, то в группу админов домена), причем не важно кем этот Nobody является для локального компа - хоть "Бэкап оператором". В любом другом случае Nobody увидит только окно с предложением ввести подходящее ситуации имя и пароль

Anto · 22.11.2004, 07:50

Terrum
Тогда может ли быть в моём случае , что когда я заходил с "SomeComputer" домена под администратором этого домена на шары "SomeComputer-1", то пароль каким-то образом был сохранён на "SomeComputer" средствами Windows(хотя никаких птичек вроде не ставил)?
{Так как после этого заходя на "SomeComputer" под рядовым DomainUser получаю полный доступ к шарам на "SomeComputer-1", (Хотя убедился c помощью DameWare, что рядовой DomainUser : 1) не админ. домена 2) на "SomeComputer-1" вообще не прописан никем

) }
Разрешение "Все/Полный доступ" на уровне NTFS для шар -- это у всех так?
Существуют ли в природе русскоязычные утилиты типа GFI LANguard Security Event Log Monitor (S.E.L.M.) для мониторинга журналов безопасности всех станций домена, другие утилиты для оптимизации управления безопасностью домена?

Ghost · 22.11.2004, 09:44

Anto

Цитата:

Посоветуйте, пожалуйста, хорошую программулину, что хорошо рулит политиками безопасности домена.

Ну так воспользуйся стандартной софтиной poledit - она поставляется вместе с NT4-серверами. С ее помощью настраиваешь политики для пользователей/групп и отдельных компов, сохраняешь под именем ntconfig.pol (точно не помню, но кажется так) в папке %SystemRoot%\system32\Repl\Import\Scripts и все машины домена начинают ее применять. Правда, для применения необходимо перегрузить рабочую станцию или, как минимум, перезагрузить профиль пользователя (т.е. выйти и войти заново).

Terrum · 22.11.2004, 23:28

Anto
ты бы написал что за ОС стоит на "SomeComputer-1", не повредило бы. А вообще твоя проблема очень напоминает ситуацию когда в win9x создать например шару C$, но ты ведь говоришь что у тебя есть закладка NTFS для шары

, или не так?
доп. инфа оттуда :

C$ D$ E$ - Root of each partition. For a Windows NT workstation/W2K/2003/XP Professional computer only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows NT Server/W2K Server computer, members of the Server Operators group can also connect to these shared folders.

Проверь, может у тебя один из этих вариантов проходит. Винда создает эти шары автоматом (если не отменить это), и ты никак не можешь повлиять на пермишины которые при этом выставляются. Поэтому тем более странно как ты мог там увидеть Разрешение "Все/Полный доступ" на уровне NTFS для шар ??

Anto · 23.11.2004, 15:31

Terrum
"SomeComputers" -- XP SP1 (NTFS) Теперь вот, после неск. дней глухого закрытия шар через реестр ради эксперимента их открыл снова через AutoShare и разрешение на них система действительно перестала показывать, меняется только "Безопасность" (Раньше клянусь стояло разрешение "Все/Полный доступ" и не менялось.) У сервера NT4 картина от "SomeComputers" сейчас отличается тем, что "Безопасность" = "Все/Полный доступ" (Но для "Всех " запрашивается пароль)Эти "Все" я вылечил, надеюсь продержаться

16.11.2004, 15:54	# 1
Anto Junior Member Регистрация: 09.01.2004 Сообщения: 119	Безопасные разрешения для C$, D$, IPC$... Всегда думал, что C$, D$, IPC$... должны быть разрешены (Permissions)в сетке по умолчанию только админу как минимум данного компа. Сегодня был шокирован, когда в свойствах этих шар прочитал Все*Полный доступ. Хотя "Все" в моём домене к администраторам никак не относятся (проверил на всякий случай) Действительно на некоторые сетевые C$, D$, IPC$... удаётся попасть из сети под рядовым юзером домена Winnt 4.0. Самое ужасное, что переделать "Permissions" только для Administrator система не даёт. Совсем и навсегда закрывать C$, D$, IPC$ не хочу, т.к. пользуюсь. Наверно кто-то здесь уже хорошо похозяйничал?

17.11.2004, 09:41	# 2
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 478	Anto Административные шары открыты для всех юзеров локальной группы "Администраторы". Т.е., если Вася Пупкин в домене является guest, а на локальной тачке входит в группу Админов, он всё равно имеет полный доступ ко всем админ. шарам. Пермишны для этих шар переделать действительно нельзя, так что насчёт "кто-то похозяйничал" - это вряд ли. __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе

17.11.2004, 10:14	# 3
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Anto а почему ты не хочешь закрыть их "совсем и навсегда"? Закрой их, а потом открой нормальные шары и раздай права в соответствии со своими требованиями. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

17.11.2004, 11:33	# 4
Anto Junior Member Регистрация: 09.01.2004 Сообщения: 119	Borland, FantomIL Ясно (хотя угнетает-таки это словечко "Все" по умолчанию), а возможно ли сначала закрыть их "совсем и навсегда" для всех станций домена и сервера PDC (NT 4.0) с помощью доменной политики ? Когда-то также слышал (2-ой путь?), что изменения для всех реестров рабочих станции домена можно произвести синхронно... All, Посоветуйте, пожалуйста, хорошую программулину, что хорошо рулит политиками безопасности домена. Последний раз редактировалось Anto; 18.11.2004 в 15:32.

22.11.2004, 07:50	# 6
Anto Junior Member Регистрация: 09.01.2004 Сообщения: 119	Terrum Тогда может ли быть в моём случае , что когда я заходил с "SomeComputer" домена под администратором этого домена на шары "SomeComputer-1", то пароль каким-то образом был сохранён на "SomeComputer" средствами Windows(хотя никаких птичек вроде не ставил)? {Так как после этого заходя на "SomeComputer" под рядовым DomainUser получаю полный доступ к шарам на "SomeComputer-1", (Хотя убедился c помощью DameWare, что рядовой DomainUser : 1) не админ. домена 2) на "SomeComputer-1" вообще не прописан никем ) } Разрешение "Все/Полный доступ" на уровне NTFS для шар -- это у всех так? Существуют ли в природе русскоязычные утилиты типа GFI LANguard Security Event Log Monitor (S.E.L.M.) для мониторинга журналов безопасности всех станций домена, другие утилиты для оптимизации управления безопасностью домена? Последний раз редактировалось Anto; 22.11.2004 в 08:45.

22.11.2004, 23:28	# 8
Terrum Junior Member Регистрация: 14.07.2004 Сообщения: 84	Anto ты бы написал что за ОС стоит на "SomeComputer-1", не повредило бы. А вообще твоя проблема очень напоминает ситуацию когда в win9x создать например шару C$, но ты ведь говоришь что у тебя есть закладка NTFS для шары , или не так? доп. инфа оттуда : C$ D$ E$ - Root of each partition. For a Windows NT workstation/W2K/2003/XP Professional computer only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows NT Server/W2K Server computer, members of the Server Operators group can also connect to these shared folders. Проверь, может у тебя один из этих вариантов проходит. Винда создает эти шары автоматом (если не отменить это), и ты никак не можешь повлиять на пермишины которые при этом выставляются. Поэтому тем более странно как ты мог там увидеть Разрешение "Все/Полный доступ" на уровне NTFS для шар ??

23.11.2004, 15:31	# 9
Anto Junior Member Регистрация: 09.01.2004 Сообщения: 119	Terrum "SomeComputers" -- XP SP1 (NTFS) Теперь вот, после неск. дней глухого закрытия шар через реестр ради эксперимента их открыл снова через AutoShare и разрешение на них система действительно перестала показывать, меняется только "Безопасность" (Раньше клянусь стояло разрешение "Все/Полный доступ" и не менялось.) У сервера NT4 картина от "SomeComputers" сейчас отличается тем, что "Безопасность" = "Все/Полный доступ" (Но для "Всех " запрашивается пароль)Эти "Все" я вылечил, надеюсь продержаться