[решено] Как закрыть доступ к общим папкам дисков по сети (с$)

human · Отправлено: **05:11, 11-07-2002** | #21

Нет, нет! - все не так плохо. Дело в том, что нужно скрыть от админа не личные папки, а конфиденциальные документы (таблицы ключевания, финансовые распоряжения и т.д., за разглашение которых башку оторвут именно владельцу машины - их даже админу смотреть категорически нельзя). А вся система организована так, что пользователь служебной машины заходит на нее именно как User со всеми вытекающими.

vasketsov · Отправлено: **05:35, 11-07-2002** | #22

human
правила работы с секретными документами не позволяют держать их на машине с Windows NT, подключенной в сеть. Так что очень странно, что по таким документам кто-то по сетке шарится.

А вы хотите обрубить админа имея права юзера?
Ну можно конечно, только геморно, и все зависит от квалификации админа, и обязательно при условии, что он забывает дыры закрывать. Если удастся - можете его уволить.

Весь набор операций надо разделить на 2 отдельные части.
1-я - это получение необходимых прав для второй. Скажем, надо получить права админа. Для этого достаточно уметь запускать приложения от имени системной учетной записи. Одна из таких дыр, которую обычно не закрывают - это Центр управления от Касперского, с его помощью можно имея права юзера запустить задачу (musrmgr.exe или mmc.exe соответственно) под системной учетной записью. Еще модно подменять exe-шники или запускать последние эксплойты, типа DbgExploit.

Разберетесь с правами - будем дальше общаться.
Но вообще я настаиваю, что такие вещи решаются не запретом, а аудитом на доступ+административными мерами.

human · Отправлено: **07:52, 11-07-2002** | #23

Я получил имя и пароль админа, какие мои действия дальше.

vasketsov · Отправлено: **11:49, 11-07-2002** | #24

1) вырубаешь службы удаленного управления реестром и сервера.
2) прибиваешь в реестре административные шары C$, D$,...
3) идешь в политку безопасности, там запрещаешь администраторам доступ из сети.
4) ставишь файрвол, которым выборочно закрываешь порты 13* и 445, а также любую другую лазейку, которую для себя оставил администратор.

Как админ все может вернуть назад - не скажу. Но запомните, у администротора ВСЕГДА есть возможность все вернуть назад, как, впрочем, и у любого с физическим доступом к винчестеру, кроме случаев использования шифрования

human · Отправлено: **14:17, 11-07-2002** | #25

Спасибо большое

Guest · Отправлено: **14:31, 21-08-2002** | #26

они стоят по умолчанию на общий доступ,так вот как их отключить чтобы даже после перезагрузки к ним не было доступа

vasketsov · Отправлено: **14:43, 21-08-2002** | #27

так как курсы начинающих телепатов я прогуливал, то надо в
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
добавить 2 параметра
AutoShareWks:REG_DWORD=0
AutoShareServer:REG_DWORD=0

Andrewkras · Отправлено: **18:12, 09-09-2002** | #28

Привет всем!

Как сделать так чтобы винда 2000 не прошаривала вообще стандартные общие ресурсы? я понимаю что они только для админов, но всё равно не хочу чтобы они были у меня

AntonSh · Отправлено: **19:50, 09-09-2002** | #29

Как мне кажется единственный путь - остановить службу Server. Тогда доступ к этим ресурсам будет закрыт.

vasketsov · Отправлено: **20:27, 09-09-2002** | #30

что вообще за нежелание пользоваться поиском?