[monkkey]

Цитата:

права на запись в папку каждой программы юзерам разрешаются.

А в реестр?

[Barvinok]

А разве под ХР политика записи в реестр отличается от 2003?

[Barvinok]

Я вот думаю, можно ли экспортировать локальные политики безопасности с WinXP и применить их на сервере?
Имеет ли значение язык ОС?
И ещё.
Можно ли как то автоматизировать сравнение двух политик?
Что бы не глазами смотреть каждый пункт, а типа выгрузить в файлы и сравнить какой то тулзой. Что бы результатом были именно отличающиеся пункты. Тогда можно было бы их поочереди пробовать

[Barvinok]

Удалось заставить работать "Кадровый учёт" - прога на платформе 1С, часто поставляется вместе с правовой системой "Кодекс", имеет собственный ключ защиты производства "Катран".
1. Необходимо использовать хоть и однопользовательский, но обязательно сетевой ключ.
2. Нужно запустить сервер защиты (всё по аналогии с Аладдиновским)
3. Нужно пользователям (либо конкрентному пользователю) разрешить создание глобальным объектов в групповых политиках:
Локальные политики/Назначение прав пользователя/Создание глобальных объектов

Так же я достучался до Инфо-Центра MS в Ростове и мне дали такой совет:

Цитата:

Есть вариант сравнить текущие настройки в Windows Server 2003 с настройками в файле, выгруженном с клиентской машины с помощью команды secedit

http://www.microsoft.com/technet/pro....mspx?mfr=true

[Barvinok]

Изучив справку по Secedit, произвёл следующие манипуляции:
Взял с ОС WinXPPro En MUI файл "C:\WINDOWS\security\templates\setup security.inf", содержащий шаблон политики по умолчанию, применяемый при установке.
Скопировал его на сервер (Win2003SP1 En MUI)
Под аккаунтом администратора выполнил команду

Код:

secedit /analyze /db secedit.sdb /cfg "setup security.inf" /log DBAnalize.log

В результате получился довольно объёмный файл отчёта - приведу только первую секцию:

Цитата:

------------------------------------------- 28 января 2007 г. 23:10:55 ----Модуль анализа инициализирован успешно.---- ----Чтение данных конфигурации... ----Анализ прав пользователя... Анализ SeNetworkLogonRight. Не соответствует - SeNetworkLogonRight. Анализ SeTcbPrivilege. Анализ SeMachineAccountPrivilege. Анализ SeBackupPrivilege. Анализ SeChangeNotifyPrivilege. Анализ SeSystemtimePrivilege. Не соответствует - SeSystemtimePrivilege. Анализ SeCreatePagefilePrivilege. Анализ SeCreateTokenPrivilege. Анализ SeCreatePermanentPrivilege. Анализ SeDebugPrivilege. Анализ SeRemoteShutdownPrivilege. Анализ SeAuditPrivilege. Анализ SeIncreaseQuotaPrivilege. Не соответствует - SeIncreaseQuotaPrivilege. Анализ SeIncreaseBasePriorityPrivilege. Анализ SeLoadDriverPrivilege. Анализ SeLockMemoryPrivilege. Анализ SeBatchLogonRight. Не соответствует - SeBatchLogonRight. Анализ SeServiceLogonRight. Не соответствует - SeServiceLogonRight. Анализ SeInteractiveLogonRight. Не соответствует - SeInteractiveLogonRight. Анализ SeSecurityPrivilege. Анализ SeSystemEnvironmentPrivilege. Анализ SeProfileSingleProcessPrivilege. Анализ SeSystemProfilePrivilege. Анализ SeAssignPrimaryTokenPrivilege. Не соответствует - SeAssignPrimaryTokenPrivilege. Анализ SeRestorePrivilege. Анализ SeShutdownPrivilege. Не соответствует - SeShutdownPrivilege. Анализ SeTakeOwnershipPrivilege. Анализ SeDenyNetworkLogonRight. Не соответствует - SeDenyNetworkLogonRight. Анализ SeDenyBatchLogonRight. Анализ SeDenyServiceLogonRight. Анализ SeDenyInteractiveLogonRight. Не соответствует - SeDenyInteractiveLogonRight. Анализ SeUndockPrivilege. Не соответствует - SeUndockPrivilege. Анализ SeSyncAgentPrivilege. Анализ SeEnableDelegationPrivilege. Анализ SeManageVolumePrivilege. Анализ SeRemoteInteractiveLogonRight. Не соответствует - SeRemoteInteractiveLogonRight. Анализ SeDenyRemoteInteractiveLogonRight. Анализ SeImpersonatePrivilege. Не соответствует - SeImpersonatePrivilege. Анализ SeCreateGlobalPrivilege. Не соответствует - SeCreateGlobalPrivilege. Анализ прав пользователя выполнен успешно.

Предположим, что это и есть искомый перечень различий в политиках между XPProf и 2003Server.
Теперь возникает вопрос, как и где мне искать, например "Не соответствует - SeAssignPrimaryTokenPrivilege."
Как он будет называться по русски (или хотя бы по английски) и в какой ветке находится?

[Barvinok]

Barvinok Приятно поговорить с умным человеком

[Barvinok]

Пришёл ответ от разработчиков Банк-Клиента "Инист" (который использует "Кедр")

Цитата:

Добрый день! Боюсь, что единственным способом добиться работы Банк-Клиента фирмы "ИНИСТ" на сервере терминалов 2003 - это установить режим работы "Совместимость разрешений" (Permission Compatibility) сервера терминалов в значение "Ослабленная безопасность" (Relaxed Security) в настройках сервера терминалов. Другого выхода нет. С уважением, Булгаков О.В. Начальник отдела автоматизации ф-ла "Ростовский" ЗАО КБ "КЕДР"

Выхода нет... Ключ поверни (с)

[Barvinok]

А вот мой ответ, если кому интересно

Цитата:

Выход есть всегда. Из общих соображений я бы рекомендовал разработчикам изучить спецификацию операционной системы, под которую они пишут приложение. Что до параметра "ослабленная безопасность", то - цитирую: ___________________ "В этом случае пользователи имеют полный доступ к реестру и системным папкам. Это необходимо для нормальной работы многих старых приложений" ___________________ Мне странно слышать подобные советы от руководителя IT-отдела банка. Казалось бы, вы должны уделять вопросом информационной безопасности особо пристальное внимание, а вы даёте своим клиентам совет эту самую безопасность полностью разрушить! Очень интересно, как вы строите внутрибанковскую политику.... Выход из этой ситуации следующий. Разработчик должен знать, доступ к каким ключам реестра и папкам требует приложение. Именно эти разрешения и только для одного пользователя я открою. Возможно, потребуется изменить настройки локальных политик безопасности (опять же для одного конкретного пользователя). Мне нужны именно эти, совершенно конкретные системные требования, предъявляемые вашим программным комплексом. Ничего сверхестественного я не требую - эта информация должно входить в сопроводительную документацию.

[Barvinok]

Собственно, запустил Regmon и на все ключи, где был <ACCDENIED> разрешил полный доступ для пользователя, работающего с этим клиентом.
Вроде заработал...
Насколько безглючно - посмотрим завтра