подскажите как получить права админа, т.е. взломать Win2000 на уровне пользователя с ограниченными правами!!!!!!!!!!!

Если имеешь физический доступ можно попробовать через консоль, не закрытую паролем для скринсейвера.
Переходишь в командный режим Start -> Run -> cmd
затем в командной строке переходишь в каталог winnt\system32, удаляешь файл logon.scr (или переименовываешь его в logon.scr.old), затем копируешь командный интерпретатор cmd.exe в файл под именем logon.scr
Завершаешь сеанс и ждешь пока система вызовет logon.scr, который на самом деле теперь является командным интерпретаором - с правами АДМИНИСТРАТОРА!
Меняешь пароль админа с помощью команды net user administrator <new password>.

Трюк срабоет если админ не менял права доступа к папке winnt, и установил хранитель экрана при входе в систему.

а больше никак???
если вот админ не закрыл папку winnt а сделал её только для чтения, т.е. изменять ничего нельзя, как тогда???

Чисто для информации:
В непропатченной WinNT/2000 есть дырка, позволяющая юзеру с минимальными правами (даже Guest) выполнять любые команды от имени админа. Есть даже специально написанный эксплойт. Я когда-то пробовал - всё работает, но только если есть физический доступ к консоли. Удаленно не получится. Если не лень, ищи в нете...

Также недавно совсем нашел в нете образ флопа, который типа позволяет менять пароль админа даже не загружаясь WinNT/2000... Что интересно, флоп является загрузочным линуксовым... Работает или нет еще не проверял...

А вообще говоря, имхо такие вопросы админами форума должны пресекаться ;)
А то постоянно приходится исправлять всякую хрень, которую творят с компами всякие "продвинутые" юзеры, начитавшиеся таких топиков в форумах...

Barmaley
:up: :up: :up:
Коротко и ясно! Нечего добавить!!!

CTEPX
Че-то твоя фишка не сработала... Может, че не так...
У админа снял пароль на заставку.
Сделал юзера в группе Users. Залогинился им и сменил logon.scr на cmd.exe, как было написано.
Завершил сеанс...
И ничего... в смысле не запускается... висит таблица логона и всё.
Может, это работает на непропатченной версии ОС?

Barmaley
CTEPX
Этот фокус уже не работает, что легко проверить.
Даже на старых системах это все тутже закрывалось умными админами редактированием реестра. Кстати, запуск с правами админа этого скринсэйвера невозможен принципиально, откуда система знает права админа?, так что максимум что может быть - либо SYSTEM либо NOBODY :).

Вообще говоря такие темы действительно безжалостно убиваются, но потом подумалось, чтоб вопросов было меньше, может стоит один раз написать что делать? Только в контексте именно обеспечения защиты, а не взлома, кто умный сам поймет что надо делать или что не надо делать соответственно.

Начальные данные - права пользователя или ниже, система на базе Windows NT. Задача - получить доступ с правами группы администраторов (именно группы, права администратора могут существенно отличаться). Варианты, не относящиеся непосредственно к системе безопасности (как то, выспросить админский пароль по телефону, перехватить почтовый трафик с паролем случайно совпавшм с админским, пытки админа загонянием раскаленных игл под ногти или еще как, в том числе случайно), не обсуждая их возможную применимость, я описывать не буду. Обычно задача получения повышенных прав равносильна задаче запуска процесса под системной учетной записью (мы же решили, что паролей мы не знаем).

Итак, взлом 1-го типа - это использование ошибок в системе, которые НЕ могут быть устранены администратором без изменения кода системы. Сюда относится тот самый DbgXploit, о котором написано выше, работает замечательно, но все админы, кому не пофигу, уже давно поставили заплатки и сервиспаки - это единственный способ защиты от ошибок в системе, администратор обязан своевременно все это устанавливать. Никто ведь уже кроме специалистов и не вспомнит GetAdmin.

Все оставшиеся ошибки - ошибки на совести администратора, и если удается их использовать - администратор однозначно зря получает свою зарплату.

Систематические администраторские ошибки заключаются в том, что не ограничивается доступ пользователей в те места, откуда можно управлять системой, в плане запуска программ под системной учетной записью это следующе места:
1) В реестре в [hklm\ system\ ccs\ control\ session manager] параметр BootExecute. Запуск программ отсюда имеет свою специфику, обычную программу оттуда не запустить, но в принципе, использовать этот ключ труда не представляет. Обработка его происходит на самом раннем этапе загрузки системы и программа, запускаемая оттуда, может в том числе заменить практически любой файл.
2) В реестре в [hklm\ software\ microsoft\ windows nt\ current version\ winlogon] параметр System. В нем перечисляются программы, запускаемые при входе пользователя в систему, причем запускаются под системной учетной записью. Запустить отсюда можно любую программу, ограничений на версию ее подсистемы или требуемые ей ресурсы не накладывается.
3) В реестре в [hklm\ Software\ Policies\ Microsoft\ Windows\ System\ Scripts] перечисляются скрипты для запуска при различных системных событиях, в частности, при запуске и завершении работы. Доступ на изменение как к этому ключу, так и к скриптам, должен у пользователя отсутствовать.
4) У пользователя не должно быть права редактировать профиль другого пользователя (в том числе реестр для другого пользователя) и общесистемный список автозапуска, в этом случае возможен запуск программ от имени другого пользователя.
5) У пользователя не должно быть право изменять обработчики расширений, запускаемых файлов, копирования, контекстного меню и тому подобного, одним словом, всего того, что так удобно, но небезопасно. В общем случае, у пользователя не должно быть права редактировать раздел реестра [HKCR]. Кроме того, многие приложения сохраняют информацию о своих модулях расширения в HKLM и HKCU - там тоже должен быть ограничен доступ, например, [HKLM\ SOFTWARE\ Microsoft\ Internet Explorer\ Extensions].
6) У пользователя не должно быть права изменять параметры запуска компонентов системы, в частности, служб, и не должно быть права подменять эти компоненты, в частности, службы (в том числе, не должно быть возможности доступа к жесткому диску при загрузке в другой системе, например, с другого раздела, и должны быть выборочно ограниченны права к системной папке и к Program Files и к прочим типа wwwroot, тут уж у кого что установлено). Вообще говоря, пользователь не должен иметь права на запись в весь раздел [hklm\ system].
7) Пользователь не должен иметь возможность управлять доверенными компонентами системы, в частности, если служба позволяет запуск процессов под системной учетной записью, доступ к ней должен быть закрыт. В качестве примера приведу Центр Управления от антивируса Касперского, в нем есть возможность запуска задачи пользователя от имени системной учетной записи.
8) У учетной записи пользователя не должно быть слишком больших привилегий. Например, одна лишь привилегия отладки полволяет запускать произвольный процесс от имени системной учетной записи, привилегия создания маркера и замены маркера уровня процесса - запуск процесса под любой учетной записью и с любыми привилегиями вообще, в том числе может быть указана вообще несуществующая учетная запись, про привилегию загрузки и выгрузки драйверов я вообще молчу, привилегии BACKUP/RESTORE позволяют заменять любые файлы, в том числе открытые, и еще много чего - функциональность, не нужная пользователю.В принципе, можно упомянуть еще кучу потенциально опасных привилегий, как то TCB или Take Ownership, но в общем-то ясно, что это больше умозрительная дыра, если админ дает юзеру привилегию отладки - у него либо должна быть уверенность, что юзер не знает, насколько это мощная привилегия, либо он готов, что в один прекрасный момент у юзера появятся админские права, либо он просто сумасшедший.

Может еще чего добавится, это что с ходу написалось, дополнения приветствуются, но именно в контексте защиты системы, а не взлома.

vasketsov
может быть уже не работает, но когдато я через эту дырку лазил.
Неплохой материал по настройке защиты Win2k:
http://www.xakep.ru/post/15928/default.htm

CTEPX
По поводу статьи, даже если не обращать внимания на идиотский тон повествования, имеет ряд принципиальных ошибок. Если кому интересно - рассмотрим ее (статью) подробнее.

Интересно.

Поехали.
>Привет, перец.

Я не перец.

>Сразу предупреждаю - данная статья относится к людям у которых компьютер подключен к Интернету по телефонной и по выделенной линии

Как ясно из статьи, она полезна только если установлен удаленный доступ, в случае локальной сети своя кухня, в случае RAS - своя. Посему данное предупреждение можно отнести исключительно на совесть автора.

>Наша сейчас первая задача защитить учетную запись Администратор, чем мы и займемся. Переименуем во что-нибудь другое, ну например в твое имя и фамилию, что я к примеру делаю постоянно.

Такой ЛОЛ, что просто без комментариев, не админ так Вася Пупкин. Учетную запись админа можно просто запретить, см. ниже.

> , смело переименовывай Гостя в Администратора (надеюсь ты догадываешься к чему я веду =)).

Нифига не догадываюсь. Если у нас гость задисэйблен, доступ у админа по сети обрезан - смысл в этом отсутствует начисто, как и в переименовании админа, перестрах#йство одним словом. Еще предлагается включить логгирование всего этого безобразия и просматривать журнал, видимо, для того, чтоб понять, что можно было это не делать.

> никто не сможет получить доступ к твоему компьютеру удалено, то есть этому уроду нужно будет иметь физически доступ к Клаве и мыши твоего компа =))

Настоящим_программистам_пробел_не_нужен, если перефразировать - при чем тут клава и мышь, кому вообще нужна эта консоль?

>Лезь там же в раздел "Параметры безопасности" и настраивай следующие параметры:

После этих строк до конца абзаца советую вообще пропускать, все там написанное либо бессмысленно, либо половинчато, кроме "Дополнительные ограничения для анонимных подключений".

>"Служба поддержки NETBIOS поверх TCP/IP" (данная служба отвечает за работу NETBIOS, а как ты сам знаешь что в Windows слабые порты 135 и 139 =). Вот как раз на этих портах то и пашет NETBIOS. В принципе тут есть один минус ты не сможешь не кого видеть в сетевом окружении и тебя не кто не сможет видеть тоже.

Во-первых, 135 к нетбиосу никакого отношения не имеет, во вторых, не вижу 137, 138 и 445, в-третьих, "я кого-то вижу" и "меня кто-то видит" с точки зрения сети - две большие разницы, даже номера портов разные.

>Дальше даешь там команду "net config server /hidden:yes" - это так, мера предосторожности =).

А зачем тогда вообще запускать службу сервера? Отрубить ее и все. Более чем странное решение скрыть сервер в сетевом окружении, можно подумать что хакеры им пользуются. Там же про IIS - фиксы же мы вроде ставим по решению автора, он же якоы даже не берется за задачу без SP2 (а теперь уже и SP3+PreSP4) - там это уже вполне рабочий сервер, к тому же его можно настроить, а не сносить.

>SynAttackProtect

Этот параметр требует настройки еще двух.

>Мы с тобой будем настраивать фильтрацию протокола TCP/IP =).

Далее обрубаются фильтром порты нетбиоса, а потом отрубается NetBt. После этого ставится файрвол. Круче только примерно такой анекдот: чувака случайно замочили, чтоб замести следы - решили с крыши скинуть, скинули с 12-го этажа на тачку под колеса, водила испугался, отъехал назад к телу, решил утопить с моста, отвез и скинул, труп выловили рыбаки,... ну и так далее еще десяток итераций, в результате тело таки попадает на стол к медработнику, после чего декларируется диагноз "случай тяжелый, но жить будет". Да, не очень уместно вышло. Короче, если устанавливается файрвол, сетевая фильрация нафиг не нужна.

А теперь про запрет учетной записи админа, ссылка сверху поста. После 3-х попыток захода под админом уч. зап. его блокируется, однако по ней всегда можно локально войти. Вуаля, а к статье, как и ко всему журналу, рекомендую относиться соответствующе, они на моей памяти не первый раз пишут о сложнейших вещах так, как будто это все очень просто и понятно. Весь смысл статьи заключен в последнем абзаце, вот он:

>Напоследок я тебе дам еще несколько рекомендаций. Первое: создай обычного пользователя (с правами пользователя) под которым ты будешь работать и лазить в нете, поверь мне - это тебе поможет избавится от многих проблем в будущем, заведи себе привычку: учетную запись с правами администратора лучше юзать только для установки ПО и изменения настроек системы. Второе: поставь себе на конец антивирус и файрвол.

Кроме выделенного фрагмента подпишусь под этим абзацем неглядя, разве что отмечу, сама по себе настройка файрвола - дело очень нетривиальное и зависит от ряда факторов, что за сеть и какие программы используются, в том числе локально, более того, Windows 2000, о которой идет прежде всего речь в статье, использует стек протоколов даже в отсутствие сетевых карт и модемов, об этом автор очень лаконично умолчал, а не стоило бы так скромничать.

vasketsov
молодец!!! :up: :up: :up: Раздолбал статью в пух и прах!!!

Да, всё лихо, но подскажите, пожалуйста, где искать информацию, по прочтении которой можно будет грамотно настроить права для пользователей и залатать все возможные и невозможные дырки? Меня, как начинающего сисадмина, тема безопасности очень волнует, но, кроме установки всех возможных заплаток и максимального обрубания прав пользователям через политику (в т. ч. запрещён доступ ко всем компонентам Панели управления, разрешено выполнять только приложения из списка), ничего не сделано. Какую оценку мне как сисадмину можно после этого поставить? И как исправить допущенные ошибки?

Barmaley, такой линуксовый флопик уменя есть, работает 100%, проверял на NT4.0, W2k, XP.

Дак от этого есть зашита-то какая-нибудь?

Raistlin
:up: , это большая половина дела.

останавливает только неопытных пользователей.

распространяется только на оболочку.

Надо правильно порулить правами на NTFS и в реестре, для этого советую посмотреть посредством regmon и filemon что куда лезет из левого софта. Кроме того, необходимо просмотреть весь софт, что установлен, и найти по нему данные по дырам или специфическим настройкам, например, файрвол читает данные из реестра - туда должен быть доступ на запись только у группы администраторов (система туда тоже получит доступ автоматом после этого).

Barmaley
Никакой защиты не может быть, если есть физический доступ к информации. Любые политики и права на NTFS ничего не решают, есть можно загрузиться в другой системе и подмонтировать носитель.

vasketsov
Права NTFS и права пользователей максимально ужесточены. Только вот не знаю, что такое regmon и filemon.
??? Если у пользователя нет доступа к иной оболочке, кроме Проводника, в котором у него, в свою очередь, обрублен доступ к C:\, то как он доберётся до компонентов Панели управления?

Raistlin
Аплеты панели управления просто выполняют определенные функции, ничто не мешает другой программе их выполнять. Тот же запрет доступа к реестру распространяется только на regedit и regedt32, а все остальные редакторы реестра на это кладут. То есть, надо забирать у пользователя не интерфейс для определенных действий, а саму возможность что-либо делать.

Добраться до аплетов панели управления можно через RunDll32.exe :)

Классная тема....
Добавить я могу только одно.
Необходимо физически ограничивать доступ к серверам и основным узлам сети.
Если  в сети есть серверы терминалов, то даже админы должны заходить через терминал, причем доступ должен быть с ограниченного подконтрольного числа машин, необходимо включить аудит на:
Вход-выход
доступ к обьектам и т.д.

Лично я перекрыл доступ в проводнике на D: (система) для всех подразделений AD в WIN2000 Server, и собрал систему так что все файловые операции возможны только на соседних дисках и только в пределах "шаг влево - шаг вправо"

vasketsov
А как это сделать? Как запретить доступ к реестру? И, кстати, если с помощью системных политик отобрать все интерфейсы -- разве не эффективный способ защиты?

vasketsov
А как пользователь до этого самого Rundll32.exe доберётся? В папку C:\Winnt из Проводника не пробраться. IE к запуску не разрешён, FAR и CMD.EXE тоже. Не знаю, я вот вхожу в систему с правами рядового негра с плантации и ничего не могу сделать! Может, просто знаний не хватает?

Добавлено:

Lanwolf
Само собой, не буду же я к серверу каждый раз бегать :). Хотя с правами администратора особой разницы нет -- что терминал, что консоль. Такого можно натворить...
Это как? По-моему, доступ можно только пользователям обрезать, а не машинам. Или просто клиента не ставить?
У меня пользователи вообще всего в 3 папки писать могут. И ещё из парочки -- читать.


[s]Исправлено: Raistlin, 0:40 17-12-2002[/s]

Дело вот в чем. Сервер терминалов сам по себе вещь интересная, при желании можно сделать все что угодно. Главное все это потом скрыть.
Сервак - 2 Пня III по 1266, 1 гига памяти, 5 рейд (2диска по 18)+IDE 60(для всякого мусора от дизайнеров и т.д.). Это база для 1С. сети разделены физически т.ч. все кто бились головой об Firewall очень огорчены.
Видишь - скромно и со вкусом.
Чтобы этим управлять недостаточно 2 папок, всем юзерам подавай личные папки для отчетов и т.д., но эти гады иногда могут натворить такого что волосы шевелятся (приходится принимать меры...

По поводу доступа.

Тут я ошибся в формулировке. можно ограничить число машин с которых пользователь может войти на сервер.
Если он с бухгалтерии то на складе ему делать не фиг.Логично?...

Для всего серверного оборудования должна быть отдельная комната чтобы доступ к ней был только у админа (перекрываем всяким умникам доступ к консоли).

в моем случае (сервер терминалов) консоль и терминал отличаются одной важной деталью - с консоли я не могу управлять пользователями что находятся в терминале, а если я сам в терминале то открыты все удовольствия..

Lanwolf
То есть? Что сделать? И от кого скрыть? :)
Кроме тех двух у каждого, конечно, есть ещё своя в Documents And Settings. Правда, из-за моего недомыслия при установке W2K AS (железо у меня почти точь-в-точь твоё), а именно разбития дисков на RAID-контроллере на два логических (4,5 и 12 Гбайт), ими пока активно не пользуются. Да и вообще сервер терминалов у меня не для MS Office, а для бухг. программы.
В планах поголовный перевод клиентов на NT/2K/XP-платформу и создание перемещаемых профилей, размещённых на самих клиентах. Также есть идея временно сделать одного клиента вторым контроллером домена, дождаться, пока реплицируется AD, сохранить информацию с первого контроллера, переразбить диски и переустановить на нём систему и реплицировать AD на него обратно. Что можете по этому поводу сказать?
А как? Вроде не встречал такого. Хотя в моих условиях неактуально -- требуется возможность входа на сервер именно с каждой машины.
Нет, ну мне всё-таки интересно -- если права у пользователей обрезаны как я описал, чем может быть опасен их доступ к консоли? :)

Raistlin
А программа HackAny.exe разрешена?

Общее правило, если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит. Например, если у клиента есть право редактировать в HKCR ветки с обработчиками расширений оболочки - он его так отредактирует, что сможет выполнить код от имени вошедшего в систему привилегированного пользователя. А какую программу он использует для редактирования - не ума админа это дело, если такой программы еще нет, то она может быть легко создана и запущена, имя у нее может быть любое.

Еще, проверять защиту обязательно должен не тот, кто ее устанавливает.

Ну ладно, разбил в пух и прах :) Действительно, ведь любую программу переименовать в разрешённую можно.
Как же мне не дать пользователям пакостить? Все пользователи у меня члены группы "Пользователи домена". Что и где ещё можно ампутировать?
Да, C:\Winnt только на чтение открыта. Это тоже неэффективно?
Помогите, пожалуйста!

Raistlin
Даешь юзерам права на CMD.EXE, после чего объявляешь конкурс среди своих юзеров, кто получит админские права, приз - ботл пива. Потом это же пиво с юзеров стрести можно, просто нервы съэкономишь и работу перепоручишь :).

На чтение даешь C:\WINNT полностью кроме реестра, C:\Docs&Sett если старше NT и C:\Program Files, после чего садишься за тачку и смотришь, чего не работает, даешь опционально права. Также на реестр. Если так сделать, после этого не будешь удивляться, что посредством какого-нить AVP чуваки проги запускают (особенное внимание ктому, что с привилегиями работает, прежде всего - к сервисам). Процедура эта должна быть выполнена для незнакомого софта 1 раз, но качественно, после этого софт становится знакомым :).

Raistlin
Небольшое дополнение сервер терминалов предназначан для 1С, а офис висит в нагрузку (exel+word остальное не ставил т.к. возникают проблемы с распределением памяти).
Идея с переносом хорошая, но я бы сделал проще:
1. сохраняем на стриммере все
2. сносим все нафиг
3. восстанавливаем.

Вариант 2 (скоро быду воплощать в жизнь)

1 ИДЕ на него все сброшу (всю структуру данных пользователей), далее состояние системы, потом сносим WIN, (прошу заметить что на IDE 60 все сохранилось), устанавливаем систему с рейдом, восстанавливаем AD в режиме восстановления службы каталогов, раздаем права NTFS

Вроде все.

Единственное что придется потратить свой выходной т.к. фирму никто не позволит тормозить.

Одно ценное наблюдение.
Серваки что являются контроллерами доменов следует называть особо и навсегда.
При понижении роли сервера и дальнейшем переименовании с последующей установкой AD к нему не удается прилепить дополнительный контроллер он пишет что мол у администратора домена нет прав для создания дополнительного контроллера) хотя с правами у меня все ОК.
На 2 SP это присутствует,на 3SP еще не пробовал.


все очень просто.
В AD пользователи и компьютеры берем любого пользователя. на вкладке учетная запись жмем кнопку "ВХОД на" и задаем список машин.

vasketsov
Мои юзеры третий день как с пальмы слезли. Они не то что ломать что-то -- они и проторенной дорожкой пройти не могут, чтобы на повороте не застрять. Вот если б тебя пригласить :)
Т. е. вполне достаточно, если реестр может читать только система?
Сейчас будет глупый вопрос... Где W2K хранит системный реестр? Поиски SYSTEM.DAT не дали результатов.
Вообще так и делалось. Я сначала неграм все права пообрубал, потом стал помаленьку добавлять.

Добавлено:

Lanwolf
Проще-то проще, только вот есть ли гарантия, что всё это заработает после обратного "заброса" на сервер? W2K -- это всё же не W98, которой по барабану, где её ставили и где теперь она работает.
Хм... Не хватает знаний и умений. Как Active Directory сохранить на стороннем винчестере? И почему ты собираешься перераздавать права NTFS -- что, тот IDE-винчестер в FAT32 отформатирован?
Кстати, а с включением в домен нового сервера и репликацией AD есть подводные камни?
Сначала речь шла о входе на сервер с определённых машин, а не на сами машины :)

Raistlin
Ну и расслабляйся тогда :beer: .

Нет, права на доступ надо выставить на реестр всем - изменение, системе и админам - полный, если будет "всем" меньше - может и не работать. Внутри, в реестре, свои права, их править через regedt32. В профиле еще есть Ntuser.dat и Ntuser.dat.log - к ним полные права системе, админам и юзеру.

Хранится он в System32/config в виде файлов без расширения, те что р расширениями - играют роль бэкапов в разных ипостасях.

Кстати, кто-нибудь пробовал -- при установленном SP3 фокус с отмоткой времени на 10 лет вперёд для лицензирования терминалов проходит или нет?

Добавлено:

vasketsov
Хм... у меня к System32/config права доступа только у SYSTEM и Администраторов. У Операторов сервера и Прошедших проверку -- только на просмотр содержимого папки. И ничего... всё работает. Через regedt32 смотрю -- у Пользователей только на чтение права (так по умолчанию было, не менял).

Raistlin
IDE винт у меня NTFS.Как ни странно но такой "трюк" проходил двайды. только я буду переносить на резервный винт информацию без разрешений NTFS,

Система после понижения сервера до изолированного и последующего восстановления ведет себя очень интерестно.
Добавить еще контроллер я не могу т.к. мне говорят что прав мало!!!
Допишу позже

Raistlin
Я понял это на папку, а не на файлы, а я их имел в виду.
Если так работает - это нормально, в принципе, разные системы могут по разному их ставить, здесь речь может идти только о том, что при сносе прав на корневой ключ эти права будут распространны на него.

vasketsov
Я проверил -- на файлы без расширения там полное наследование. Доступ только у SYSTEM и Администраторов.
Lanwolf
Почему?

Перераспределение схемы данных.

Права будут даны позже после установки новой "схемы".

Наша фирма растет и в начале мой предшественник не предусмотрел "перспективы роста", пришлось добавлять в AD подразделения для ясности структуры.
вскоре строимся и там будет новая сеть, соответственно надо запланировать и это.

Какой в W2K аналог IO.SYS в W9x -- ntldr? Аналог в том смысле, что важно его физическое расположение на диске. Хочу переустановить W2KAS на тот же винчестер. Ghost не подходит: так получилось (по недомыслию), что на 40-Гбайтном винчестере 1 раздел занимает всё дисковое пространство, а Windows сообщает, что у него размер 20 Гбайт (втупую скопировал раздел со старого 20-Гбайтного винчестера Ghost'ом, ну и получил в результате бардак).

смутно понимаю о чем идет речь...
т.к. проше все снести, разбить винт на 3 раздела 30%-70%-20% система - программы - архив, установить Win2k перенести данные и никаких заморочек.

Raistlin
Да все, в принципе, правильно, только но....
Берешь Partition Magic 7.0 или 8.0 и копируешь раздел, если система откажется то просто поверх устанавливаешь ее заново, и все. Тем же Partition Magic 7.0 или 8.0 можешь изменить размер раздела, и т.д.

asd_w
Боюсь, не выйдет: в существующем разделе неверна информация о его размере, так что копировать можно только пофайлово.
Guest
:) Это в сумме 120 выходит. К тому же я убедился, что самое оптимальное -- один большой раздел.

Raistlin
извини 30-50-20.

Зачем мудрить с PMagic все снес затем поставил
1. Решена проблема с дефрагментацией диска
2. Нет головных болей как оно все будет дышать после "действа"

А насчет одного раздела, для диска в 10 гигов оно с самый раз, а когда их 30-120????

И делить надо мимнимум на 2 части, в идеале на 3, на 5 гиг положить систему, во второй раздел пишем все программы для юзеров, в третий самый маленький сливаем резервные копии, файлы состояния системы, сжатые личные папки Outlook-а ну и т.д.
На 1 разделе приинтенсивном использовании уровень дефрагментации растет очень быстро, особенно если размер файла подкачки выставлен автоматически.

Guest
Угу, и личные папки на нём по умолчанию расположены будут. Вручную переносить -- занятие утомительное, а способа поменять все пути разом я не нашёл.
Автозапуск дефрагментации на ночь, и нет проблем! :)

:) :)

Хлопцы,

тут Lanwolf заикнулся о терминальном сервере.
у меня сейчас такая проблема.

как юзерам TS запретить запускать все кроме некоторых приложений по списку?

Баловаться правами NTFS - бесполезно. Программы очень здорово из сети стартуют. К томуже я напоролся на проблемы наследования прав без возможности запуска. Корневой каталог имеет такие права а дочерний уже на одну соствляющую меньше а третий только права админа и системы. Не думайте что я туплю с птичками наследования... Много раз пробовал.
И так и сяк никак. На третьем уровне пользователь даже каталог созать не может.

Мне кажется чтобы реально заблокировать запуск программ это должен быть какой-то системный сервис отслеживающий
функции createprocess и иже с ней, и контролирующий пути запуска модулей их имена и контрольные суммы.

Микрософт сделала терминальный сервер и не дала админу возможность ограничивать права юзеров на запуск программ?
Не писать же его самому.

Спасибо.

PS:
Я тут всех на бездисковые терминалы сажаю... Насильно.
Юзеры на своих компах свинячили не хочу чтобы терминальники завалили...

А что сложного - я уже Gina переделывал , единственное НО - в gin'e функций <20 , а в kernel32 > 200 (942 для XP SP1)
Так что надо, надо...
Хотя мне сейчас идею подсказали с хуками, придйтся правда эту ловушку от SYSTEM запускать - буду пробовать!

>aistlin писал:
А программа HackAny.exe разрешена?

Общее правило, если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит. Например, если у клиента есть право редактировать в HKCR ветки с обработчиками расширений оболочки - он его так отредактирует, что сможет выполнить код от имени вошедшего в систему привилегированного пользователя. А какую программу он использует для редактирования - не ума админа это дело, если такой программы еще нет, то она может быть легко создана и запущена, имя у нее может быть любое.
>

Есть такой ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Параметр: RestrictRun
Устанавливаешь параметр RestrictRun в 1 для использования.
Определяещь программы которые должны запускаться в ключе[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
далее создаешь новый параметр для каждой программы, например
'1'='c:\windows\notepad.exe'
'2'='c:\program files\msoffice\winword.exe'
...

После этого выполнятся будут те, и только те приложения которые ты укажешь.
Укажешь Word, и ничего кроме Worda на этой машине под этим пользователем работать не будет!!!

Я пользуюсь аналогичным инструментом из групповой политики, хотя, правду сказать, гемору с этим больше, чем толку. Прав пользователей на запись в реестр и на диск (кроме их профилей, естественно) нет.
Хочу пояснить, почему один гемор. Во-первых, постоянно напарываешься на собственные ограничения, когда пытаешься сделать что-нибудь из-под пользователя. Во-вторых, одной из главных целей было запретить пользователям вешать картинки на рабочий стол (из ACDSee, например, можно повесить в обход запрета на запуск апплета :-) Панели управления) и играть в игрушки. Однако хрен там было! Вешают! И, хоть убей, не пойму как. Может, какой инетовский сервис для этого есть?

Сам с этим бился. Ничего не придумал.
Решил проблему кардинально: Удалил с тачек Paint, а ACDC вообще не ставил. Картинки на раб стол кидать стало неоткуда. Но подозреваю тебе такой способ не поможет :)

Paint, хм. Нету у них ни Paint'а, ни ACDSee :-). И вообще ничего нету! А ставят. Голь на выдумки щедра. Ладно... Завтра ещё покопаюсь.

Добавлено:

По-моему, тупишь-таки :). Подробнее-то не опишешь свою ситуацию? Не понимаю я, как это

Я тоже как то сталкивался с тем, что при изменении прав пользователей во вложенных каталогах творилось черт знает что.
Права или не изменялись, или изменялись только в некоторых папках. *После двух трех попыток выставлялось как надо. Причину так и ненашел.

На счёт рабочего стола.
1. Запрет на чтение desk.cpl
2. удаление Paint

После этого я на рабочих столах картинок не видел. Хотя помоему из IExplorera тоже можно чё хошь на рабочий стол кинуть.


Может у кого есть нормальное решение по этому вопросу?

Вот-вот, как раз это завтра я и собирался проверить :)

По-моему, через групповую политику правильнее.

Запрет на модификацию содержимого HKEY_CURRENT_USER\Control Panel\Desktop. Но я не знаю, есть ли средство сделать это из командной строки. Не руками же...

Добавлено:

По моим наблюдениям, не совсем так: напортачит, если будет портачить с помощью чего-нибудь консольного. А произвольное GUI-приложение ему запустить не удастся.

netcat
Raistlin
Чтоб запретить вешать на рабочий стол картинки, единственный способ это оставить только на чтение эту ветку реестра:
HKEY_CURRENT_USER\Control Panel\Desktop
больше сделать никак не получится, нету у Выни такой возможности...
Все програмки типа: [/b]ACDSee, Paint, IExplorer и прочие[/b] прописуют путь к файлику в этот ключ:
HKEY_CURRENT_USER\Control Panel\Desktop
"Wallpaper"="любое имя файла"
потом просто перезагружают оболочку... причем ACDSee умудряется ставить картинку для многих пользователей (проверено)... *Единственный способ, это взять написать свою програмульку, чтоб она следила за этим ключиком и если вдруг туда, что-то левое написано сразу меняла назад и перезагружала оболочку, думаю после нескольких попыток юзеру надоест долбаться с этим и он перестанет менять обои...

Добавлено:

А вот насчет запуска каких нибудь програм определенных, так во это все бред...
Обьясняю почему:
Во-первых: Допустим у тебя есть множество програм, с которыми работает пользователь, и допустим одна програмулька работает еще с несколькими екзешниками ( ну там ей нужно для своих нужд), так вот задолбаешся описывать все те екзешники которое используются у тебя...
Во-вторых: Берешь переименовуешь любое приложение в разрешеные для запуска приложения, и все... теперь ты можешь запускать сколько хочешь допустим свой "Quake 2", все равно допустим в процесах будет отображаться допустим "winword.exe" (если допустим ты переименовал в такое приложение)

Вообщем это бред... Так что решайте...


[s]Исправлено: J Fox, 9:58 26-11-2003[/s]

Да? А сценарий входа с применением reg-файла вида

HKEY_CURRENT_USER\Control Panel\Desktop
"Wallpaper"=-

не катит?
Один раз поднапрячься -- и всё :-) Если список запускаемых пользователями приложений стабилен, то ничего особо сложного. Просто тут... как бы это выразиться... нужен системный подход, на который никогда не хватает времени, терпения и желания.
Это уже само по себе требует некоторых мозгов, которые у пользователей -- редкость. Кроме того, на моих подопечных WXP-станциях пользователь должен будет сначала переписать то, что он хочет переименовать, в свой профиль. Больше нигде безобразничать у него прав нет.
В общем, мой вердикт в отношении этого параметра групповой политики таков -- не то, что хотелось бы, но иногда может быть полезно и необходимо. Например, на сервере терминалов.

to: J Fox

>>> А вот насчет запуска каких нибудь програм определенных, так во это все бред...

Это далеко не бред!

Почему в Виндовсе то что давно высрали в Юниксе считается бредом ?

Я сказал же у меня терминальный сервер! Там сидит около 50 бездисковых пользователей, на другом еще столько же... Если какая-то падла запустит какую нибудь HackFuckWindows предприятие встанет до восстановления сервера...

По поводу подмены программы ее переименования рассказываю...
Система когда запускает процесс она знает откуда она это делает! Она знает полный путь к программе! Вот здесь все и должно резаться!
Программа контроля за запуском процессов помнит путь откуда запускается каждая разрешенная программа. А по самим этим путям на NTFS расставлены права допуска. Во-первых никто, кроме админа не может изменить исполняемый код запускаемыъх модулей по этим путям. Во вторых права на просмотр и запуск имеет только некая группа пользователей.
Поэтому замена и переимнование невозможны без взлома NTFS.
В принципе программа контроля за запуском может хранить для верности и CRC или MD5SUM каждого модуля и не давать запускать модуль и вопить о том что CRC изменился.

Тем кто вомущается что проблематично расставить пути на все требуемые модули возражу. Во-первых мне для запуска нужно выдать 1с word excel calc ventafax это не так много. :)
Во-вторых при настройке программа контроля может сканировать все пути которые запрашивает та или иная программа при загрузке своих модулей и подмодулей и добавить их автоматически позволив админу выбрать те которые нужны.

Нашел программу в ResourceKit для Win2000 называется appsec.exe. Запустил проверил - хрен работает! В хелпе написано что должна быть некая appsec.dll и Instappsec.exe на диске их небыло. Да и написана она видимо, как затычка - на скорую руку. Не позволяет контролировать запуск 16 битных приложений.
Кстати там есть та самая функция сканирования :)

Raistlin
По поводу наследования прав я тебе мыло набросаю сейчас...
с парой картинок... Лениво писать все...

А откуда, собственно, у падлы права напортить что-то на сервере? Запрети запись в %SystemRoot% и в HKLM, и пусть он хоть десять HackFuckWindows'ов запускает -- ни фига не сможет сделать. Запрет на запуск определённых программ служит не для защиты от взломов.

Raistlin

Не нужно быть таким идеалистом... не все чисто особенно у товарища била... Или он не товарищь....

Я как-то запустил внутри своей сетки сканер безопасности :)
Линуксовые сервера отказали в обслуживании но выстояли... А вот виндовые упали в доли секунды и распластались под собственным весом. И заметьте это удаленный
удар... А что можно сделать изнутри (из терминальной сессии)? Есть метод позволяющий использовать подмену дескрипторов безопасности и любой процесс в системе может получить права системы, а также любого * процесса выполняющегося в системе... И никакие защиты на %SYSTEMROOT% не спасут от этого... А дырка эта тянется во всех версиях винды....

Винда порочна по своей структуре. Поэтому чем меньше возможностей у юзеров запустить что либо - тем спокойней админу и руководству.

Raistlin
катит то катит... вообщем делай как знаешь...

Нифига... а если у меня каждый месяц обновления выходят, или там кто нить просит что нить установить для работы... все равно это хрень... еслиб было действительное отслеживание всех путей и прочих модулей програм, то б была хорошая функция выни, а так просто напросто защита от чайников... и все...незнаю как у твоих, но мои до этого додумаются...
younghacker
Да нифига это не реализовано в текущих версиях выни... вот если может сделают новую вынь, то может и реализуют... Единственное что знает вынь щаз, так это название процесса и все... пути откудава этот процесс запускался ее не интересуют... ей просто на них плевать... только один процесс ее волнует...
ну да путь не может изменять, но повторюсь выни на путь плевать... а ты представь что прога эта пишет куда нить это в свою папку, на которую должен быть открыт доступ на запись и создание новых файлов??? что тогда??? Ну типа просмотр и запуск может выполнять конкретная группа пользователей... а остальные что просто сидят и вмыкают в монитор???
Ето повезло что у тебя так мало програмок, а если у меня используется для работы около 50 прог, то что тогда??? и у некоторых не по одному екзешнику??? Где ты нашел эту прогу??? дай линку, я хочу посмотреть что она из себя представляет...

Хочу у себя попробовать! Где взять можно? И, кстати, как насчёт установленных заплаток и SP?

J Fox

Стоп-Стоп! Ты что-то заблудился.... С каких это пор винду не интересует откуда запускать прогу? А откуда она будет брать код для запуска? Откуда винда создаст файл проеции чтобы запустить процесс? Какой файл она залочит от изменения и удаления?

Когда вы запускаете самый банальный NOTEPAD происходит примерно следующее:
- CreateFile
- CreateFileMapping
- MapViewOfFileEx
- CreateThread
- Передача управления первичному потоку/нитке.

Винда всегда знает откуда она загрузила процесс! Иначе
как будет работат вся ее виртуальная память ? Процесс стартанул - получи 4 гига. А откуда их она берет если физической памяти всего скажем 512 мег, а запущенных процессов не один десяток? Даже когда программа грузится с дискеты она копируется в файл свопинга и оттуда стартует, чтобы вы после запуска не дернули дискету.

О программе
Яже сказал прогу я нашел на диске в Resource Kit for Win 2000
линк на физический диск дать не могу :)
могу выслать ресурс кит мылом... 376 мег... можно попробовать упаковать. Но я повторяю что программа у меня не пошла - запускается но ничего не ограничевает. В хелпе описаны еще два файла которых нет на диске с ресурскитом... :( Нужно посмотреть ресурс кит для 2003 сервака - некогда выбраться съездить за ним. Там должен быть какой нибудь системный сервис который будет контролировать создание процессов.

Raistlin
Систему я сканировал чем-то уже не помню... год назад было
сервис паки стояли... поищи в интернете сканеры безопасности.
Последннее что у меня было это XSpider 6.5 (могу выслать), а также подпишись на рассылку http://www.uinc.ru/ и http://www.bugtraq.ru/. Там часто хотяд эксплойты на свежие и поросшие мхом дырочки и проломы... Так часто, что что другим заниматься некогда... Если бы так патчи от микрософта ходили....

Автоцитата :) Не катит, как оказалось. Windows умная -- видит, что со времени последнего применения политики к текущему профилю та не менялась, и не применяет её снова. Т. е. reg-файл выполняется отнюдь не при каждом входе в систему, а при самом первом после изменения соответствующей политики. Так что тут надо чуть хитрее действовать. Например, убивать этот параметр реестра с помощью nnCron -- кстати, можно делать это каждую минуту, чтобы у пользователя быстрее желание вешать картинку отбилось :).
Вот что интересно: вхожу под пользователем, у которого картинка, запускаю gpupdate (под WXP) -- картинка сразу исчезает. Хотя, по идее, сценарий применятся в этом случае не должен (потому как если пишу gpupdate /force, то заявляет, что для полного выполнения команды нужен перелогон).

younghacker
Можно руками создать объект потока, процесса и секции, напихать в них код (так как уже имеется процесс, то у него есть ВАП, более того, это достаточно для того, чтобы у процесса было ВАП) и запустить на выполнение. Будет процесс без файла.
А организация ВАП никакого отношения к бинарному коду не имеет, и все это вместе никакого отношения к рассматриваемой теме тоже не имеет.

Ключик
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Работает только для explorer, возможно, для запусков через shell32.dll (ShellExecute(Ex)), но сам посуди, зачем мне при запуске программы из своей проги проверять его наличие и что там имеется? Короче, после того, как управление передается в CreateProcess(Ex), никакие RestrictRun уже не проверяются.

Для пользователей, имеющих привилегии отладки. По-умолчанию ее имеют только администраторы. Либо это давно закрытая дырка с подсистемой отладки. Либо кидай мне в мыло код/программу, погляжу что там не того.

То есть, если у меня pagefile.sys размером 512мб, то экзешек больше чем на 512 мб мне не запустить, надо увеличить файл подкачки? Что за бред Вы пишете? На самом деле, никто никуда не копируется (потому что как раз, если прога полностью скопировалась - пожалуйста, доставай дискету), а неявно все объекты Session, используемые при создании процессов (если без извратов), добавляются к подкачиваемому пулу памяти.

Да в общем-то, J Fox полностью прав насчет того, что RestrictRun реально только для полных чайников годится.

Raistlin
Ну, не все так хорошо.
Предположим, для определенного расширения файла имеется его обработчик (DLL). Предположение вполне реальное, в рабочей системе их не одна сотня наберется. Запись о нем в HKCR, который, как мы знаем, всего лишь подраздел в HKLM. Но при этом сама библиотека может находится где-нибуть не в %SystemRoot%, и ее злоумышленник может подменить. Потому защиты установкой уровня доступа должны реализовываться не выборочным запретом, а выборочным разрешением (например, только на U:\PupkinVasya).

Да, кстати,
HKEY_CURRENT_USER\Control Panel\Desktop
"Wallpaper"
не есть политика безопасности, это обычный ключик, если его менять в скрипте или из программы - системе одно и то же.
Вот, например, что выдается при поиске по слову WallPaper на сайте registry.oszone.net
http://www.registry.oszone.net/cgi-b...&srchwt=on
Вам в первую часть :)

vasketsov
А вот это уже очень интересно поскольку позволяет сделать давно мучавшую виндовс программеров задачу, написать программу которая сама себя удаляет или модифицирует. Без всяких изголов с командными файлами

Где об этом можно почитать детальнее ?

Вы невнимательно прочитали мое сообщение или я не совсем однозначно пояснил. В свап файл копируется, или копировалось (не знаю точно как сейчас обстоит дело в win2k и xp) исполняемый файл с дискеты! И только с дискеты! Для того чтобы создать файл отображение для процесса.

про AppSec.exe я сразу понял что это липа. Грустно что микрософт выпуская терминальник подставляет админа
оставив пользователям бреши и дыры через которые можно хоть сервер завалить хоть получить конфиденциальную инфу других пользователей...

Собственно вопрос который меня сейчас мучает больше других - не дать юзерам терминальника завалить сам теминальник.

Спасибо.

У меня на клиентах так и есть. Запись разрешена исключительно в профиль пользователя.
А я разве писал, что это политика безопасности? :)
Не помогает. Добавил я параметр NoChangingWallpaper в реестр, а из IE всё равно можно поставить картинку на Рабочий стол.


[s]Исправлено: Sergius, 22:16 10-12-2003[/s]

rsdn.ru.
группогугль.
Garry Nebbett.

Добавлено:

Да можно и без cmd это сделать, если честно.

Raistlin
А это уже не к Вам относилось, а просто мысли по теме.

Значит, IE тоже не смотрит в это место. След-но, надо рулить правами доступа к ключу. Если есть время, можете сами посмотреть, что читает IE, когда кладет на десктоп картинку, это можно сделать regmon-ом.

А можно ли сбросить локальные политики безопасности W2K если есть физический доступ к винту?

Guest
файлик с политикой локальной (ее изменениями) хранится в system32\GroupPolicy\Registry.pol

если его убрать, изменения, указанные в нем применяться к реестру не будут. только это часть локальной политики, тк есть еще изменения однонаправленные, которые не возвращаюся ( разрешения NTFS, на службы.

что у вас произошло-то?

Люди все это хорошо!!! но подскажите мне дубалому как попроще 2000 через сетку расковырять !!!!   если можно поподробние!!!))) если все ровно раскажите поделюсь клевой прогой для снятия любого одмин пороля под WinNT\XP\2000!!!

Зарание блогодарен!!

И пусть продолжает быть хорошо! "одмин пороль"… И почему только все подобные письма так похожи…

Народ нужна помощь. как закрыть порт 135 через камандную строку (Фаервол стоит "аутпост 2.1.303")