Войти

Показать полную графическую версию : [решено] Как закрыть доступ к общим папкам дисков по сети (с$)


Страниц : 1 [2] 3 4

human
11-07-2002, 05:11
Нет, нет! - все не так плохо. Дело в том, что нужно скрыть от админа не личные папки, а  конфиденциальные документы (таблицы ключевания, финансовые распоряжения и т.д., за разглашение которых башку оторвут именно владельцу машины - их даже админу смотреть категорически нельзя). А вся система организована так, что пользователь служебной машины заходит на нее именно как User со всеми вытекающими.

vasketsov
11-07-2002, 05:35
human
правила работы с секретными документами не позволяют держать их на машине с Windows NT, подключенной в сеть. Так что очень странно, что по таким документам кто-то по сетке шарится.

А вы хотите обрубить админа имея права юзера?
Ну можно конечно, только геморно, и все зависит от квалификации админа, и обязательно при условии, что он забывает дыры закрывать. Если удастся - можете его уволить.

Весь набор операций надо разделить на 2 отдельные части.
1-я - это получение необходимых прав для второй. Скажем, надо получить права админа. Для этого достаточно уметь запускать приложения от имени системной учетной записи. Одна из таких дыр, которую обычно не закрывают - это Центр управления от Касперского, с его помощью можно имея права юзера запустить задачу (musrmgr.exe или mmc.exe соответственно) под системной учетной записью. Еще модно подменять exe-шники или запускать последние эксплойты, типа DbgExploit.

Разберетесь с правами - будем дальше общаться.
Но вообще я настаиваю, что такие вещи решаются не запретом, а аудитом на доступ+административными мерами.

human
11-07-2002, 07:52
Я получил имя и пароль админа, какие мои действия дальше.

vasketsov
11-07-2002, 11:49
1) вырубаешь службы удаленного управления реестром и сервера.
2) прибиваешь в реестре административные шары C$, D$,...
3) идешь в политку безопасности, там запрещаешь администраторам доступ из сети.
4) ставишь файрвол, которым выборочно закрываешь порты 13* и 445, а также любую другую лазейку, которую для себя оставил администратор.

Как админ все может вернуть назад - не скажу. Но запомните, у администротора ВСЕГДА есть возможность все вернуть назад, как, впрочем, и у любого с физическим доступом к винчестеру, кроме случаев использования шифрования

human
11-07-2002, 14:17
Спасибо большое :)

Guest
21-08-2002, 14:31
они стоят по умолчанию на общий доступ,так вот как их отключить чтобы даже после перезагрузки к ним не было доступа

vasketsov
21-08-2002, 14:43
так как курсы начинающих телепатов я прогуливал, то надо в
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
добавить 2 параметра
AutoShareWks:REG_DWORD=0
AutoShareServer:REG_DWORD=0

Andrewkras
09-09-2002, 18:12
Привет всем! :rupor: Как сделать так чтобы винда 2000 не прошаривала вообще стандартные общие ресурсы? я понимаю что они только для админов, но всё равно не хочу чтобы они были у меня

AntonSh
09-09-2002, 19:50
Как мне кажется единственный путь - остановить службу Server. Тогда доступ к этим ресурсам будет закрыт.

vasketsov
09-09-2002, 20:27
что вообще за нежелание пользоваться поиском?

Andrewkras
09-09-2002, 20:51
Wow! да мой запрос перенаправили на раннее обсуждение этой темы :up: Я бы воспользовался поиском, но только поиск не самый лучший тут. ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения, то было бы вобще круто :biggrin:
Спасибо за помощь :)

vasketsov
10-09-2002, 10:03
Andrewkras
ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения
а он так и делает.
вводишь AutoShareWks - и VOILA.

Nik
10-09-2002, 17:30
vasketsov
AutoShareWks:REG_DWORD=0
для рабочих станций

аAutoShareServer:REG_DWORD=0
для серверов

vasketsov
10-09-2002, 20:35
Nik
ну так, вообще-то, но мне не жалко оба параметра написать, так надежнее:gigi:

ZoT
12-09-2002, 10:37
Win98 Не видит расшареные ресурсы если в их имени имеется пробел. Теореоически к ним можно подключиться набрав ручками полный адрес (поверенно на принтерах).

CyMpak
12-09-2002, 11:34
Как расшарить понятно. Но как с паролем???
по запросу к ресурсу запрашивался пароль.

Просмотри пароль юзера на 98 и поставь соответствующий на папку, а насчет
Если есть ipx, то снеси его и спокойно расшаривай папки.
несогласен, у меня на обоих машинах он присутствует (только не надо сарказма, для работы надо, а то некоторые проги юзверей требуют) так ниче, на сервак в свои папки залетают без паролей.
wildman проверь учетные записи на обоих машинах.

Guest
19-11-2002, 13:35
Только что поставили домен. Опыта нет. Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр. Необходимость подключения к домену - почтовая и ряд аналогичных систем.

wolf
19-11-2002, 13:40
Guest
Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр
Что ты имеешь в виду? Закрой все ненужные шары и как ты говоришь: Не все рабочии станции (банк-системы) будут доступны с домена на просмотр...

Animal
19-11-2002, 14:51
Файловую систему на этих компах NTFS сделайте. Если уже FAT32, то можно воспользоваться утилитой convert.
Шары все закройте, как пишет Wolf. Удалите из локальных групп пользователей всех доменных пользователей и все доменные группы, кроме того доменного пользователя, кто будет работать за компом. Пароль его должен быть длинным и трудноугадываемым.

Для еще большей безопасности поставьте на эти станции персональный firewall, их много разных.
Можно еще зашифровать средствами NTFS какие-то директории или файлы.

Guest
19-11-2002, 14:51
По-моему не закроешь. Приоритет у сервера.




© OSzone.net 2001-2012