Kerberos 5, NTLMv2 и анонимный доступ
Модератор: Модераторы
Сообщений: 2
• Страница 1 из 1
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 08 июл 2004, 06:49
Здравствуйте.
Имеем w2k3 - DC и комп в домене.
при доступе по имени - net use * \\server\folder в журнале событий безопасноти -
Пользователь: Пупкин, протокол Kerberos
при доступе по IP net use * \\1.2.3.4\folder в журнале событий безопасноти -
Анонимный доступ, протокол NTLM SSP (как я понимаю NTLMv2).
Отрубаю NetBIOS поверх TCP/IP - только NTLMv2 и анонимные юзеры.
Для DC - шаблон безопасности hisecdc
Для домена шаблон безопасности hisecws
Также есть возможность подключения по нуль сессии
net use \\server\ipc$ "" /u:"" - работает за милую душу
установка Restrictanonymous =2 не канает, возвращается в 1 при применении ГПО.
В ГПО на DC стоит запрет на вход по сети для анонимных пользователей.
Что из этого вытекает:
любой пользователь домена может видеть каике сервисы запушены на серваке, PID запущенных процесов и т.д.
И еще как ограничить доступ к просмотру AD. Зачем всем в домене видеть какие группы есть и кто в них входить?
Имеем w2k3 - DC и комп в домене.
при доступе по имени - net use * \\server\folder в журнале событий безопасноти -
Пользователь: Пупкин, протокол Kerberos
при доступе по IP net use * \\1.2.3.4\folder в журнале событий безопасноти -
Анонимный доступ, протокол NTLM SSP (как я понимаю NTLMv2).
Отрубаю NetBIOS поверх TCP/IP - только NTLMv2 и анонимные юзеры.
Для DC - шаблон безопасности hisecdc
Для домена шаблон безопасности hisecws
Также есть возможность подключения по нуль сессии
net use \\server\ipc$ "" /u:"" - работает за милую душу
установка Restrictanonymous =2 не канает, возвращается в 1 при применении ГПО.
В ГПО на DC стоит запрет на вход по сети для анонимных пользователей.
Что из этого вытекает:
любой пользователь домена может видеть каике сервисы запушены на серваке, PID запущенных процесов и т.д.
И еще как ограничить доступ к просмотру AD. Зачем всем в домене видеть какие группы есть и кто в них входить?
- Valeriy
- Активный пользователь
- Сообщения: 243
- Зарегистрирован: 30 июн 2004, 16:18
- Откуда: Кировоград (Украина)
Valeriy » 08 июл 2004, 10:22
| Цитата (slz @ 8.07.2004 - 05:49) |
| И еще как ограничить доступ к просмотру AD. Зачем всем в домене видеть какие группы есть и кто в них входить?
[/quote] А если для домена убрать разрешение чтение для группы Прошедшие проверку? C уважением, Валерий
Сообщений: 2
• Страница 1 из 1
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57 |