Показать полную графическую версию : [решено] Как закрыть доступ к общим папкам дисков по сети (с$)
Нет, нет! - все не так плохо. Дело в том, что нужно скрыть от админа не личные папки, а конфиденциальные документы (таблицы ключевания, финансовые распоряжения и т.д., за разглашение которых башку оторвут именно владельцу машины - их даже админу смотреть категорически нельзя). А вся система организована так, что пользователь служебной машины заходит на нее именно как User со всеми вытекающими.
vasketsov
11-07-2002, 05:35
human
правила работы с секретными документами не позволяют держать их на машине с Windows NT, подключенной в сеть. Так что очень странно, что по таким документам кто-то по сетке шарится.
А вы хотите обрубить админа имея права юзера?
Ну можно конечно, только геморно, и все зависит от квалификации админа, и обязательно при условии, что он забывает дыры закрывать. Если удастся - можете его уволить.
Весь набор операций надо разделить на 2 отдельные части.
1-я - это получение необходимых прав для второй. Скажем, надо получить права админа. Для этого достаточно уметь запускать приложения от имени системной учетной записи. Одна из таких дыр, которую обычно не закрывают - это Центр управления от Касперского, с его помощью можно имея права юзера запустить задачу (musrmgr.exe или mmc.exe соответственно) под системной учетной записью. Еще модно подменять exe-шники или запускать последние эксплойты, типа DbgExploit.
Разберетесь с правами - будем дальше общаться.
Но вообще я настаиваю, что такие вещи решаются не запретом, а аудитом на доступ+административными мерами.
Я получил имя и пароль админа, какие мои действия дальше.
vasketsov
11-07-2002, 11:49
1) вырубаешь службы удаленного управления реестром и сервера.
2) прибиваешь в реестре административные шары C$, D$,...
3) идешь в политку безопасности, там запрещаешь администраторам доступ из сети.
4) ставишь файрвол, которым выборочно закрываешь порты 13* и 445, а также любую другую лазейку, которую для себя оставил администратор.
Как админ все может вернуть назад - не скажу. Но запомните, у администротора ВСЕГДА есть возможность все вернуть назад, как, впрочем, и у любого с физическим доступом к винчестеру, кроме случаев использования шифрования
они стоят по умолчанию на общий доступ,так вот как их отключить чтобы даже после перезагрузки к ним не было доступа
vasketsov
21-08-2002, 14:43
так как курсы начинающих телепатов я прогуливал, то надо в
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
добавить 2 параметра
AutoShareWks:REG_DWORD=0
AutoShareServer:REG_DWORD=0
Andrewkras
09-09-2002, 18:12
Привет всем! :rupor: Как сделать так чтобы винда 2000 не прошаривала вообще стандартные общие ресурсы? я понимаю что они только для админов, но всё равно не хочу чтобы они были у меня
Как мне кажется единственный путь - остановить службу Server. Тогда доступ к этим ресурсам будет закрыт.
vasketsov
09-09-2002, 20:27
что вообще за нежелание пользоваться поиском?
Andrewkras
09-09-2002, 20:51
Wow! да мой запрос перенаправили на раннее обсуждение этой темы :up: Я бы воспользовался поиском, но только поиск не самый лучший тут. ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения, то было бы вобще круто :biggrin:
Спасибо за помощь :)
vasketsov
10-09-2002, 10:03
Andrewkras
ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения
а он так и делает.
вводишь AutoShareWks - и VOILA.
vasketsov
AutoShareWks:REG_DWORD=0
для рабочих станций
аAutoShareServer:REG_DWORD=0
для серверов
vasketsov
10-09-2002, 20:35
Nik
ну так, вообще-то, но мне не жалко оба параметра написать, так надежнее:gigi:
Win98 Не видит расшареные ресурсы если в их имени имеется пробел. Теореоически к ним можно подключиться набрав ручками полный адрес (поверенно на принтерах).
Как расшарить понятно. Но как с паролем???
по запросу к ресурсу запрашивался пароль.
Просмотри пароль юзера на 98 и поставь соответствующий на папку, а насчет
Если есть ipx, то снеси его и спокойно расшаривай папки.
несогласен, у меня на обоих машинах он присутствует (только не надо сарказма, для работы надо, а то некоторые проги юзверей требуют) так ниче, на сервак в свои папки залетают без паролей.
wildman проверь учетные записи на обоих машинах.
Только что поставили домен. Опыта нет. Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр. Необходимость подключения к домену - почтовая и ряд аналогичных систем.
Guest
Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр
Что ты имеешь в виду? Закрой все ненужные шары и как ты говоришь: Не все рабочии станции (банк-системы) будут доступны с домена на просмотр...
Файловую систему на этих компах NTFS сделайте. Если уже FAT32, то можно воспользоваться утилитой convert.
Шары все закройте, как пишет Wolf. Удалите из локальных групп пользователей всех доменных пользователей и все доменные группы, кроме того доменного пользователя, кто будет работать за компом. Пароль его должен быть длинным и трудноугадываемым.
Для еще большей безопасности поставьте на эти станции персональный firewall, их много разных.
Можно еще зашифровать средствами NTFS какие-то директории или файлы.
По-моему не закроешь. Приоритет у сервера.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.