Форум 3DNews
Вернуться   Форум 3DNews > Общие форумы > Общие проблемы

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 03.07.2006, 11:30   [включить плавающее окно]   #1
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Административный общий доступ

Не могу определиться куда эту тему лучше сунуть - то ли в сети, то ли в винды, то ли в безопасность, так что пусть пока тут полежит -)

Вопрос такой: у нас в локалке (домен) на всех машинах пользователей расшарены все винты и их разделы (см скрин). Естественно, что для других пользователей доступа туда нет (это был бы пребор) и эти расшареные разделы даже не отображаются в списке шаров, но вот есть ли туда доступ для админов? Они же сами не признаются -) Убивание самой службы и отключение доступа ничего не даёт, там сразу вылетает предупреждение, что ресурс создан в административных целях и будет после перезагрузки запущен снова. Установить разрешения на такой доступ тоже нельзя.

Мне просто интересно, могут ли админы копаться в коём компе или нет? То что я расшариваю сам, это понятно, там же я сам и задаю разрешения, но тут я даже не могу посмотреть, что и кому разрешено -) Возможно системный диск надо расшаривать для загрузки туда разных сервисов и файлов (например у нас в локалке автоматом подгружается новая версия траффик инспектора, ScriptLogic для конфигурации сетевых дисков и вообще системы и наверняка другие сервисы), но нафига расшаривать остальные разделы, где лежат только мои личные файлы???
Миниатюры
Нажмите на изображение для увеличения
Название: доступ.jpg
Просмотров: 435
Размер:	47.0 Кб
ID:	16928  
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.07.2006, 12:05   [включить плавающее окно]   #2
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Цитата (Штандартенфюрер СС) »
но вот есть ли туда доступ для админов? Они же сами не признаются -)
Признаюсь. Доступ есть.
Часто пользуюсь. Расшарены логический диск D с общими файлами. Иногда требуется зайти на диск C например за шрифтами.
Так и пишу \\имя компьютера\с$ если из под чужого аккаунта, ввожу логин пароль и вуаля - полный доступ к диску с

Убрать это шары можно только с обладая админскими правами.

Vanya добавил :

Цитата (Штандартенфюрер СС) »
но нафига расшаривать остальные разделы, где лежат только мои личные файлы???
ставь права доступа (если NTFS) но это тож из под админской учетки меняется.
Или шифруй данные.

но imho нафиг надо. Админ не зверь - просто так гадить не будет

Vanya добавил :

http://www.3dnews.ru/reviews/softwar...index07.htm#13
Цитата
13. Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)? updated
A: Данные скрытые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора, поэтому не рекомендуется задавать для этого аккаунта слишком простой пароль (например, Enter ). Для увеличения степени секретности можно также изменить имя пользователя "Администратор" на другое. Если удалить эти ресурсы через "Управление компьютером" -> "Общие папки", то после перезагрузки они появятся снова. Полностью отключить скрытые ресурсы можно только с помощью правки реестра. Откройте раздел

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Добавьте или измените следующие значения:

OS Параметр Тип Значение
Win2000 Server AutoShareServer REG_DWORD 0
Win2000 Pro AutoShareWks REG_DWORD 0

Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.

net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 03.07.2006, 12:48   [включить плавающее окно]   #3
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Спасибо, что разъяснил.
Цитата
ставь права доступа (если NTFS) но это тож из под админской учетки меняется.
Увы, не ставятся разрешения для таких шаров... Хоть я и админ на своей машине, но видимо приоритет админов сети выше.
Цитата
Или шифруй данные.
А как? Никогда не занимался этим... не подскажешь как нужно?
Цитата
но imho нафиг надо. Админ не зверь - просто так гадить не будет
ДЖа дело в том, что в мои личные файлы никто не должен сувать своего носа, это моё личное дело. Потому и хочу убить доступ.

А зачем вообще нужен такой доступ??? Что он им даёт? Какие последствия могут быть при отключении?

Цитата
net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete
Сейчас попробую -) Спасибо.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.07.2006, 12:54   [включить плавающее окно]   #4
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Цитата (Штандартенфюрер СС) »
А зачем вообще нужен такой доступ??? Что он им даёт?
Им... Нам
Нам- админам, он дает доступ к любому компу в любое время. Иногда надо.
Dll скопировать, файлы перенести и т.п. короче запасной выход.

При этом обычным юзерам этот доступ не нужен. То что нужно - штатно расшаривается.

По поводу последствий.
Отключишь, а админу он понадобится, придет - настучит по голове, ибо нефиг.
(где-то на форуме было обсуждение "админы и юзеры в одной фирме")

Vanya добавил :

Как защитить свой пк от Remote Administrator
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 03.07.2006, 13:34   [включить плавающее окно]   #5
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Хм, допустим системный диск я им могу оставить, но вот свои личные диски не дам -) Это уже моё личное. (там же у меня план уничтожения пентагона лежит, вдруг сопрут сволочи... )
А RAdmin они не используют, да он и в процессах был бы, там же нужно клиент и сервер.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.07.2006, 14:11   [включить плавающее окно]   #6
[BMs] Capt. Loki
Мужской Модератор
 
Регистрация: 13.02.2003
Адрес: Новосибирск
Никакие net share c$ /delete не помогут.
Потому как
Цитата (Штандартенфюрер СС) »
у нас в локалке (домен)
Enterprise админ все равно круче.
__________________
In a world without walls and fences - who needs windows and gates?
I am root!
[BMs] Capt. Loki вне форума  
Ответить с цитированием
Непрочитано 03.07.2006, 15:20   [включить плавающее окно]   #7
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
[BMs] Capt. Loki
А как тогда можно убить доступ хотя бы к несистемным разделам диска?

Штандартенфюрер СС добавил :

Попробовал указанный выше Батник - он работает и убивает всё, кроме IPC, хотя ipc прописан в списке удаления. А подскажите - что такое IPC и что даёт если включён доступ на него? Это даст возможность залезть в расшареные диски, после применения этого батника и удаления шаров? Там только один ipc и остался и мои личные шары.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.07.2006, 20:28   [включить плавающее окно]   #8
[BMs] Capt. Loki
Мужской Модератор
 
Регистрация: 13.02.2003
Адрес: Новосибирск
Штандартенфюрер СС, послушай, твои попытки что-то там прикрыть от админа только спровоцируют его интерес.

Ну удалишь ты административные шары. Получишь GPO с их включением и по голове от админа.
Ну запретишь ты разрешениями NTFS доступ к каким-нибудь файлам. Получишь политику с включением доменного админа в группу локальных администраторов (что, скорее всего, уже сделано), захват админом владения этими файлами, раздачу новых разрешений NTFS и по голове от админа.
Кстати, Vanya,
Цитата (Vanya) »
ставь права доступа (если NTFS) но это тож из под админской учетки меняется.
Или шифруй данные.
на объекты даются не права, а разрешения.
Шифрование тоже не поможет, кто в домене является рекавери агентом, а?


Штандартенфюрер СС, если хочешь полностью быть сам себе хозяином на компе, комп не должен быть в домене или ты сам должен быть единственным администратором домена.
__________________
In a world without walls and fences - who needs windows and gates?
I am root!
[BMs] Capt. Loki вне форума  
Ответить с цитированием
Непрочитано 03.07.2006, 20:32   [включить плавающее окно]   #9
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Цитата ([BMs] Capt. Loki) »
Шифрование тоже не поможет, кто в домене является рекавери агентом, а?
Есть сторонние проги.
Да тот-же winrar.
но это уже лирика
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 03.07.2006, 21:32   [включить плавающее окно]   #10
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Ну Winrar это извращение -)) Но на крайний случай можно паролить папки сторонними прогами, кроме системных.

Штандартенфюрер СС добавил :

Цитата ([BMs] Capt. Loki) »
Ну удалишь ты административные шары. Получишь GPO с их включением и по голове от админа
а что такое GPO кстати? просвятите убогово....
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 04.07.2006, 06:30   [включить плавающее окно]   #11
[BMs] Capt. Loki
Мужской Модератор
 
Регистрация: 13.02.2003
Адрес: Новосибирск
http://old.osp.ru/win2000/2003/07/014.htm
__________________
In a world without walls and fences - who needs windows and gates?
I am root!
[BMs] Capt. Loki вне форума  
Ответить с цитированием
Непрочитано 04.07.2006, 11:06   [включить плавающее окно]   #12
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
[BMs] Capt. Loki
Спасиб, почитал, буду знать.

Вообщем буду паролить свои папки сторонними прогами, другого способа похоже нет.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.07.2006, 20:04   [включить плавающее окно]   #13
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
Штандартенфюрер СС
Цитата
Вообщем буду паролить свои папки сторонними прогами, другого способа похоже нет.
Коль уж зашел об этом разговор, хотелось-бы послушать на эту тему что-либо. Какие например проги? Только не чтоб резидентом в памяти висели, и не давали доступа, пока активны, а действующие по какому-либо более действенному принципу. Тот-же Steganos Security Suite - он виртуальные разделы создает, которые перед использованием монтировть надо, а после - демонтировать. Зато защита эффективная. Но не сильно удобно. Так вот, хотелось-бы услышать о софте, который не предполагает доплнительных действий. Т.е. требуется полная прозрачность..
Есть-ли что-либо подобное? Может кто знает?
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 10.07.2006, 00:54   [включить плавающее окно]   #14
Rackot
Мужской Администратор
 
Аватар для Rackot
 
Регистрация: 06.02.2003
Адрес: Moscow
PGP скажем тоже крипто диски создавать умеет
__________________
2501
Rackot вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:03. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey