Пофиксить возможности usrmgr.exe
Доброго времени суток. Имеется домен на Win2000srv sp4. Пользователям в руки попала утилита usrmgr.exe и с помощью нее они могут видеть список сетевых имен пользователей и список доменных групп безопасности, что нежелательно. Пытался разрулить права на контейнер в АД (где содержаться пользователи), доходило даже что в консоли "пользователи и компьютеры" не отображаются пользователи (пишет, нет прав), а с помощью usrmgr.exe пользователь (входящий только в группу "Domain Users") все равно видит список. Возможно ли закрыть данную прореху?
|
Запретить запуск этой процедуры...
|
Запретить по имени процесса? У нас юзеры шустрые, переименовать файл для них не проблема.
|
лишать премии всех, что будет замечен в запуске этой утилиты - самый действенный метод )
|
| Butunin Klim |
19-08-2008 16:49 878825 |
rrev,
Ну есть 2 способа это ваш самый тупой способ переименовать файл а есть другой способ на уровне хеш файла тогда уже не какое переименование не поможет.
В гп запрет на использование порограмм
|
| d petr |
19-08-2008 17:10 878846 |
rrev, сейчас не могу сказать есть ли в 2000, но в XP есть возможность запретить запуск файла по запрещенному "хэшу": Пуск - выполнить - gpedit.msc - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - политика ограниченного использования прграмм - Дополнительные правила. Правой кнопкой мыши - создать правило для хэша - выбираем файл и в графе безопасность - не разрешено. Примените к группе в AD и возможно вам поможет, только не забудьте на клиентском компе обновить настройки групповой политики через secedit, ключ не помню :), или просто перегрузите компьютер.
|
| Dan Swano |
20-08-2008 13:10 879512 |
Цитата:
Цитата Butunin Klim
Ну есть 2 способа это ваш самый тупой способ переименовать файл а есть другой способ на уровне хеш файла тогда уже не какое переименование не поможет.
В гп запрет на использование порограмм »
|
А если юзеры файл, который запрещен хэшем, пожмут, например, с помощью UPX или Hex-edit'ом исправят один байт в теле файла (в заголовке, например, где есть некритичные байты)? Стало быть, запрещенный по хэшу файл станет для системы "другим" файлом и будет работать? |
| Butunin Klim |
20-08-2008 13:28 879521 |
Dan Swano,
А вы попробуйте. Я не думаю что там есть некритичные байты
|
| Dan Swano |
20-08-2008 13:37 879525 |
Некритичные байты есть однозначно, к примеру, в DOS stub, можно руками изменить надпись "This program cannot be run in DOS mode.", главное, не изменить ее длину. Можно изменить сигнатуру EXE 'MZ' на 'ZM', можно изменить указатели на минимальный и максимальный объем памяти и т.п. Можно и в PE-заголовке покопаться, там много зарезервированных полей :)
|
| Котяра |
20-08-2008 13:44 879528 |
Цитата:
Цитата Dan Swano
А если юзеры файл, который запрещен хэшем, пожмут, например, с помощью UPX или Hex-edit'ом исправят один байт в теле файла (в заголовке, например, где есть некритичные байты)? Стало быть, запрещенный по хэшу файл станет для системы "другим" файлом и будет работать? »
|
Тогда это уже не "юзеры". Это профессионалы! |
Извиняюсь за задержку, был в отпуске. Возможностей политики ограничения использования программ было бы вполне достаточно, только на 2000 и NT они не применяются, работает только в XP и выше (2003\2008 и XP\Vista). В нашей сети расклад такой ~200 машин на NT4.0, ~300 машин 2000 и только около 150 клиентских машин XP. Переезд на XP по финансовым соображениям планируется не скоро (видимо пока железо не истлеет), а это значит придется мириться с usrmgr.exe.
Всем спасибо!
|
| Butunin Klim |
15-09-2008 16:08 899896 |
rrev,
Запретите, использовать программу для изменения хеш значение. Я думаю их не так много.
|
| Butunin Klim |
15-09-2008 18:22 900038 |
rrev,
Если вы руководитель отдела. То на уровне приказа через ген директора оповестить всех что при обнаружении будут караться денежно.
если подчененый то огрументировать руководителю отдела что необходимо на уровне приказа внести ястность по первому пункту
|
Время: 14:29.
© OSzone.net 2001-
