Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Microsoft SharePoint Server

Автор: FreemanRU
Дата сообщения: 30.10.2008 01:06
yarasha

Цитата:
А уязвимостей уже найденых этих много

Еще раз - ссылки в студию. Ссылки на уязвимости, которые позволяют получить доступ хотя бы к непревелигерованной учетной записи на сервере, где установлен Sharepoint. DoS не берем за уязвимость.
Если Вы, как системный администратор, не понимаете как работает система и не можете её настроить - это не уязвимость. Это ваша личная безграмотность. Что-то в сети уже больше тысячи сайтов на WSS/Sharepoint, многие вообще без SSL - и еще никого не сломали.
Офтопиком - может вы еще в ISA знаете уязвимости?
Конкретно:

Цитата:
по умолчанию SSLv2

Что, кто-то сломал алгоритм с 128 битным ключем?

Цитата:
И понимаем, что Brute Forse меншее из возможных зол

Если вы не знаете, что такое Kerberos и/или "отключение учетной записи после N неудачных попыток" - я вам только сочувствую.

Цитата:
там тоже по умолчанию все не очень хорошо

А как в сертификате, который я создаю САМ, из СОБСТВЕННОГО ЦЕНТРА СЕРТИФИКАЦИИ можеть быть что-то "по умолчанию"?



Добавлено:

Цитата:
но тогда пользователи, не имеющие учетной записи не смогут зайти. Хотелось бы и им доступ оставить

Сделать гостевую учетку.
Автор: yarasha
Дата сообщения: 30.10.2008 02:55

Цитата:
yarasha упомянул прозрачную аутентификацию. А как ее настроить можно, что бы пользователям не приходилось при входе нажимать Войти и вводить учетные данные?


По умолчанию Share Point настроен на использование встроенной аутентификации Windows. Локальной или доменной согласно локальным политикам сервера. К сожалению это великолепно подходит для Интранет ( доверенной зоны) и абсолютно не пригодно для интернета.
Для того, чтобы настроить доменную аутентификацию в Internet Information Services (IIS) , а именно он является Windows Web Service необходимо в закладке authentication and acces control проставить соответствующую галочку. Получить доступ к настройкам IIS можно через Administrative Tools - Internet Information Services (IIS) Manager. В этой же закладке можно(нужно) поиграться с другими значениями и подобрать необходимое и приемлемое для себя решение.
Также если это интранет очень неплохо настроить соответственно Explorer на клиентах. в Explorer (лучше 7-м) внести адрес Share Point Server в интранет. Закладка Seсurity. Тогда независимо от того работает ли доменная аутентификация вводить пароль пользователь будет только один первый раз.


Добавлено:

Цитата:
Если вы не знаете, что такое Kerberos и/или "отключение учетной записи после N неудачных попыток" - я вам только сочувствую.


Аутентификация пользователя если Share Point смотрит в интернет проводится с помощью IIS NTLM а ничем либо другим.


Цитата:
Что-то в сети уже больше тысячи сайтов на WSS/Sharepoint, многие вообще без SSL - и еще никого не сломали.


Еще раз Аутентификацию пользователя проводит NTLM который вот беда передает данные в открытом виде, так что без SSL вообщем –то никуда. А тех которых еще не сломали так как они без SSL и ломать не надо
Автор: rkhodjaev
Дата сообщения: 30.10.2008 07:00
Как я понял,SharePoint Services бесплатный и урезанный.Но где можно скачать данную версию,ну что бы для рады интереса посмотрет,как к чему....
Автор: FreemanRU
Дата сообщения: 30.10.2008 13:37
yarasha

Цитата:
Аутентификация пользователя если Share Point смотрит в интернет проводится с помощью IIS NTLM

Кто сказал? А формы вы куда дели?

rkhodjaev

Цитата:
Но где можно скачать данную версию

На сайте MS.
Автор: yarasha
Дата сообщения: 30.10.2008 14:55
FreemanRU

Не пропустите!!! Только сегодня у нас в студии великий гуру сетевых технологий и безопасностей показывет конфигурацию своего Share Point Server с скриншотами, который проводит аутентификацию удаленных интернет пользователей- !!! а точнее необходимих для работы приложений типа Outlooka и других с помощью Цербера (kerberos V).
Я каюсь, презренный думал, что Цербер бегает у Мелкософта вместе с LDAP (например доменная аутентификация), а для удаленной аутентификации в Интернете (Outlook, Explorer и т.д.) необходим SSL.
Во второй части нашей программы настоящий Спец расскажет, как он реализовал регистрацию в домене на удаленных компьютерах когда на сетевом и транспортном уровне доступны только TCP/UDP ну и ICMP.
Также попросим нижайше рассказать введены ли удаленые компьютеры в домен. Работает ли синхронизация времени NTP и почему она так нужна для Цербера. Как работает DNS и еще пару вопросов о почте. Что происходит, ПОДЧЕРКНУ НА РАБОЧЕМ примере, когда клиент эээ... ну например в ШАНХАЕ пытается открыть интернет календарь, формат isc, лежащий на удаленном Share Point Server с помощью Outlooka или Explorera.
А также в данном случае чисто теоретически после скольки попыток неудачой аутетификации доступа по 80 порту он будет лочить с помощью Gpedit пользователя если их пользователей хотя бы 500. И почему в таком случае не помогает фаервол. У меня стоит хардварный PIX а ISA нет и врядли будет.


Добавлено:
rkhodjaev

Windows SharePoint Services 3.0 (WSS 3.0), который является бесплатным компонентом в Windows 2003 сервер основан на ASP.NET 2.0 и нуждается .NET Framework 3.0.

Хотя Microsoft Office SharePoint Server 2007 (MOSS) - следующая реализация той же технологии, которая использует именно WSS 3.0 разница по функионалу между ними ограмная.

Стоит сказать, хотя бы то, что на клиентах для нормального функтионирования MOSS необходим Office 2007, чего во время рождения Windows 2003 еще не существовало. Так что я не уверен, что возожно получить минимально приблизительные представления об возможностях MOSS развернув только WSS.



Добавлено:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E084D5CB-1161-46F2-A363-8E0C2250D990&displaylang=en
Автор: ilion
Дата сообщения: 30.10.2008 21:45
yarasha
FreemanRU
"Мальчики, перестаньте ссориться"
Ну просто как дети начали. Главное, что оба правы. Но каждый в отдельной части.

Кстати говоря, о введении во хр..(тьфу, в домен). Тут по весне Microsoft признал в качестве своего продукта opensource разработку под итоговым названием External Collaboration Toolkit for SharePoint
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9af2c25-989c-45c4-8008-1f15722190ed&DisplayLang=en
Почитайте, меньше ругани будет
Автор: rkhodjaev
Дата сообщения: 31.10.2008 08:28
FreemanRU
yarasha

Спасибо Вам.
Автор: davinchi9
Дата сообщения: 31.10.2008 09:36
yarasha
действительно тон смени, я тоже не понимаю что ты так раздуваешь из мухи слона, есть куча методов как обезопасить процес аутентификации удаленных пользователей и т.д.

Народ, нужна ваша помощь, в кратайшие сроки нужно развернуть MOSS 2007, и сделать в нем следующее:
есть куча доков (больше нескольких десятков гигов) сделанных в ворде и экселе в основном и 10% разной всячины + нереально много (порядка нескольких тысяч) графических файлов (в основном tif - многостраничный графический документ), надо сделаь из всего этого структуированную БД доков содержащую все этого чтобы можно было удалено (в другом филиале) просматривать эту БД, пополнять и т.д....
Пока я себе вообще никак не представляю MOSS вопрос в слдующем:
1. я так понимаю что все доки и файлы которые публикуются на MOSS помещаются в собственную БД шарепоинта?
2. MOSS на виртуальной машине это реально или будут тормаза из-за медленной работы с виртуальным жестким диском?
3. вопос наверное не в этой теме наверное надо задавать, но всеже - есть у кого ссылка на MOSS 2007 SP1 RU&
Автор: plasticman
Дата сообщения: 31.10.2008 10:11
davinchi9

Проще и быстрее всего создать библиотеки документов. Открыть библиотеку документов можно как простую папку, потом скопировать туда все свои документы(вместе с директориями). Займет несколько минут.
1 Да, так
2 Сделай 2 машины: одну для БД и вторую для MOSS и нормал
3 Свободно распространяется, на сайте мс поищи
Автор: davinchi9
Дата сообщения: 31.10.2008 10:26
plasticman
т.е. мне надо использовать шаблон "библиотека документов", при этом доки будут храниться в БД шарепоинта а не просто на диске...
далее - БД шарыпойнта лучше хранить на файлсервере с быстрыми винтами, а сам сервер держать на виртуальной машине...
а в каком формте БД шарыпоинта, что-то специфическое для этой БД нужно?
Автор: FreemanRU
Дата сообщения: 31.10.2008 10:35
yarasha

Цитата:
который проводит аутентификацию удаленных интернет пользователей

http://blogs.msdn.com/brismith/archive/2007/09/10/ldap-forms-authentication-revisited.aspx
Это раз.
http://blogs.msdn.com/james_world/archive/2007/08/20/essential-guide-to-kerberos-in-sharepoint.aspx
Это два, читаем комментарии.


Цитата:
Что происходит, ПОДЧЕРКНУ НА РАБОЧЕМ примере, когда клиент эээ... ну например в ШАНХАЕ пытается открыть интернет календарь, формат isc, лежащий на удаленном Share Point Server с помощью Outlooka или Explorera

RPC-over-HTTP

Цитата:
после скольки попыток неудачой аутетификации доступа по 80 порту он будет лочить с помощью Gpedit пользователя если их пользователей хотя бы 500

См. первый пост. Н-р 5ть. Хотя это всё настраивается. Н-р прямо из страницы администрирования Sharepoint.


Цитата:
удаленных интернет пользователей

Я где-то писал, что Kerberos работает через инет?

ilion
Просто уже становится интересно.
Автор: plasticman
Дата сообщения: 31.10.2008 11:34
davinchi9

шарпоинт все хранит в БД MS SQL. Можно запустить представление библиотеки в виде обычной директории.
Можно и сервер приложений и сервер БД виртуализировать, тут все зависит от нагрузки на них и личных предпочтений.
База ms sql, можно экспресс идишн поставить бесплатно, но у нее ограничение в 4 гига.
Автор: Nerian
Дата сообщения: 31.10.2008 12:41
дано: sharepoint 2003 (стоит на windows 2003), outlook 2003
задача: добавить контакты из sharepoint 2003 в outlook 2003 с фотографией.

Подскажите как реализовать? И возможно ли такое?
Автор: yarasha
Дата сообщения: 31.10.2008 14:03
FreemanRU

Полный оффтопик - День проведен был в поисках ссылок Я же просил рабочую конфигурацию, а не ссылки в которых есть те же вопросы, но нет ответов. Ссылки интересные - спору нет, я могу, как раз из них процитировать то, что я раньше написал. А ведь это одна из проблем безопасности в MOSS, названая первой, отнють не являющееся самой большой. Я готов поспорить, FreemanRU, что на практике НЕ приходилось над этим даже задумываться.
Вот собственно то, что меня зацепило. И если серьезно говорить без малейшей капли иронии, то FreemanRU производит впечатление человека читающего, за что мой респект и уважение. однако просьба различать прочитаное и реализованое. Также если я чем-то обидел искренее SORRY. Я уже понял FreemanRU - чистый виндовый админ и Microsoft будет защищать до последнего патрона. Я тоже очень люблю продукты от Билли.
Возращаясь к начальной теме вопроса, мое субьективное мнение, Share Point Server имеет серьезные проблемы с безопасностью, особенно при работе в интернете. Так как сам по себе достаточно сложный продукт, состоящий из многих компонентов. Поэтому особенно рисковано вводить Share Point Server в AD, если Share Point Server смотрит хотя бы одним интерфейсом в интернет. Я не говорю о злых хакерах, а реалиях дня - спам, вирусы, сканирование ботами и т.д. Если этого все таки требует производственая необходимость, а функцинал MOSS с AD и MOSS без AD две больших разницы, очень желательно попытаться их хотя бы минимизировать.
Все выше сказаное не имеет смысла, если MOSS стоит в Intranet. Вот вообщем-то и все, что я пытался с самого начало сказать.

Автор: FreemanRU
Дата сообщения: 31.10.2008 18:23
yarasha

Цитата:
Я же просил рабочую конфигурацию

http://www.microsoft.com/serviceproviders/directory/wssv3.mspx

К тому же есть официальный документ от MS, в котором четко описано, какие средства предлагается использовать сервис-провайдерам для организации доступа к серверам WSS из интернет. Первым пунктом идет использование AD.
Причем заметь, тут уже речь идет о том, что выделенный пользовать САМ создает учетные записи в AD, задает парольные политики и прочее. И всё это - через стандартный протокол HTTP(s). Я сам разрабатывал подобные веб-части.

И чтобы подитожить - на сегодняшний день в WSS нет ни одной уязвимости, которая приводит к получение привелегий на сервере, где выполняется WSS. Максимум - получение привелегий на сайте в определенных конфигурациях (т.е. - утечка информации, не более).

Безопасность стоит на первом месте в реализации WSS. Н-р компоненты, которые обращаются к серверу или выполняются под превилигированными учетками можно установить только локально. Каждую новую библиотеку надо регестрировать также локально.

Ты же не привел ни одного аргумента или реального примера как можно атаковать сайт на WSS, кроме как обычным DoS. Какие такие серьезные проблемы с безопасностью? Криворукие админы? От этого не защищена ни одна система. Из-за таких "админов" все сегдоняшние ОС и приложения ставятся по умолчанию исходя из принципа "отлючить всё, что можно, что нельяз тоже отключить".
Автор: plasticman
Дата сообщения: 31.10.2008 18:57
Подскажите, кто-нибуть, что за группа "Средства просмотра" слева в консоли "пользователи и группы".
И еще сразу вопрос: есть ли в ШП запрещающие права?
Те, допустим, если я даю пользователю права на полный доступ, а группе, в которой он присутствует - только на чтение. Какие при этом права он получит?
Автор: yarasha
Дата сообщения: 31.10.2008 20:30
Ок. Конструктив без взаимных оскорблений. Иначе завязуем с этой темой. Выше привенный список Хостеров предоставляющих услуги SharePoint Services ровным счетом ничего не доказывает. Я сам пользуюсь приблизительно тем же. У нас уже даже особо рьяные хостеры предлагают MOSS на базе Win2008 Server, хотя там проблем еще больше. До того как была найдена последяя из известных уязвимостей в DCOM Windows XP вообще не имела фаервола (до SP2) А ведь эта уязвимость была, если мне не изменяет память и в Win2k Server. И что? Сколько уже на тот момент было серверов Win2k в сети??
Далее, Share Point Server это комплексный программный продукт состоящий из многих компонентов. Было бы наивно утверждать, что тот же IIS абсолютно безгрешен - скорее наоборот. А ведь он должен светить в интернет и никаким фаерволом рабочии порты ему не закроешь. С аутентификацией, я считаю мы уже тоже разобрались. При удаленной аутетнификации в интернете по умолчанию Share Point использует NTLM, который просто передает данные в отрытом виде. То есть без шифрования (SSL) никак. Это тоже, что админить удаленный сервер Telnetом. SSLv2 тоже имеет проблемы с безопасностью. Не 128 битный ключ, а программная реализация. Если есть желание это обсудить, то идем в Андергаунд к emx. В данном случае это не актуально. Лично у меня сложилось мнение, что самое проблемное место это почта, а если точнее не почта, а сама цепочка Oulook - Share Point Server. Можно конечно сказать пользуйте для этих целей Exchange. Так и есть. Exchange очень желателен. Я кстати при настройке пользовался материалами от FreemanRU в ветке Exchanga. Но ведь Exchange не всегда возможен по многим причинам. А ведь есть еще MsSQL - благо с ним получше, да и фаерволом прикрить можно(не всегда).
Все выше сказаное, а это не все, есть еще человеческий фактор, как те которые ползуют MOSS без SSL в сети и т.д, является досточной аргументацией, что у MOSS есть проблемы с безопасностью при работе в интернете????
Я это занес для себя в неготив.
Тоже происходит и с AD. Одна из рульных фич - это единая LDAP база - общий каталог для всей сети (домена). То есть учетная запись пользователя одна для всех случаев жизни и использует ее весь прикладной софт. Но любая проблема в этом софте, например Outlook, как найденая, так еще и не найденая, ставит под угрозу вместо одного сервера весь домен. И речь идет не о том, что ушла учетка админа или терминального пользователя и существует проблема вторжения из вне, а о том, что при таких раскладах не возможно гарантировать сохраность данных, так и отсутствие других проблем.
Причем я не говорю, это плохо, никогда этого не делай!!! Я говорю, соизмеряй требуемый функционал ( возможности) с необходимодостаточной безопасностью. Очень может быть, что пароноидальная безопасность вообще сведет на нет все приимущества. А проблемы с безопасностью MOSS - они есть, уже есть к сожалению реальные примеры, как это делалось. Именно насмотревшись этого у других я загнал всех своих внешних пользователей в VPN. А так к Share Point с наружи как и к домену у меня не достучаться так и kerberos бегает.
Автор: ilion
Дата сообщения: 01.11.2008 08:43
yarasha
Ну может хватит витийствовать на темы, которые непосвященным кажутся чрезвычайно глубокими, а у профессионалов вызывают усмешку.

Цитата:
учетная запись пользователя одна для всех случаев жизни и использует ее весь прикладной софт.
....
при таких раскладах не возможно гарантировать сохраность данных, так и отсутствие других проблем.

Уже было же сказано:

Цитата:
Криворукие админы? От этого не защищена ни одна система.


"Они свою ученость показать хочут, поэтому говорят о непонятном"
"Я гналась за Вами 3 дня, чтоб сказать Вам, как Вы мне безразличны..."
Автор: yarasha
Дата сообщения: 01.11.2008 18:09
ilion

Ладно, замяли тему. Последний мой пост по данному вопросу.
Чины людьми даются, а люди могут обмануться. (с)
Или может, кто-то готов отрыто заявить , что он не «криворук», а очень даже крут.
Так я посмею сразу возразить опять цитатой:


Цитата:
Что-то в сети уже больше тысячи сайтов на WSS/Sharepoint, многие вообще без SSL - и еще никого не сломали.


1. А ведь еще фактор пользователя, которому вообще все до лампочки и проблемы безопасности вообще не его забота.
2. Проблемы с Outlook – вопрос, заданный по поводу icalendar и Шанхай и был реальный пример из жизни - мы, как раз разбираем сейчас этот инцидент. А спрашивал я у FreemanRU именно потому, сам пытаюсь понять, что и как произошло. Эх, мне бы логи с того сервера!!! А ведь Юзер будучи в Шанхае на одной вообще не компьютерной выставке всего-то Аутглюком календари офисные на центральном сервере за три девять земель и посмотрел. Этого хватило для того, чтобы отгрузить через MOSS пару килограммов спама. И беда была не в админах, они это ликвидировали сравнительно быстро, а в том, что многие сервера (не все) внесли доменное имя в черные списки. Не плохо да, когда твою почту перестают принимать? А ведь никто никого не ломал, так получилось.
3. Проблемы с сертификатами. Если, кто-то найдет для нашей студии ссылки или данную информацию, а она должна быть по идее в сети, я буду премного благодарен. Хотелось бы разобрать по косточкам, что они делали. Это будет сигнал для меня, что я не зря это писал. По тому, что есть у меня подозрение, что остался я « непонятым». Посему дальнейшее обсуждение, даже если оно будет, будет уже без меня. Я за этот раз и так написал больше, чем за все предведущие 6 лет. Тем более, что к профессионалам , у которых это вызывает усмешку, себя не отношу.
Карету мне, карету (с)
А суть такова: То в этом году одна адвокатская!!! Не ИТ контора на выставке System 2008(21-24 октября) в Мюнхене демонстрировала, как можно получить данные из за проблем с сертификатами. Это была полная имитация, а не теория. На этой выставке вообще много было уделено внимание, как и Share Point, так и правовым вопросам в ИТ. Суть проблемы была там в том, что в линию между клиентом и Сертификат-сервером вклинивается чужак, который, как оказалось очень много плохого может сделать, даром, что все HTTPS. Я видел это сам 24 числа, но думаю, они это показывали каждый день с завидной регулярностью, и есть описание и подробности. Многие это снимали на камеру, многие записывали. Я тоже остался под впечатлением.
На правах рекламы: а вот Касперский на этой выставке раздавал БЕЗПЛАТНО презервативы, в упаковках от AVP c надписью «Security!!! Kaspersky Security Lab». Ну видать, это тоже секьюрити, жалко что я себе такой артефакт не оставил.


Автор: FreemanRU
Дата сообщения: 02.11.2008 21:35
yarasha

Цитата:
и есть описание и подробности

Ссылку. Гугл об этом ничего не знает. И я не очень понимаю, как можно, не зная закрытого ключа, расшифровать а затем снова зашифровать сообщение HTTPS.


Цитата:
интернете по умолчанию Share Point использует NTLM, который просто передает данные в отрытом виде

ilion уже намекнул на твою не большую грамоность. Может расскажешь, чем тогда NTLM отличается от Plain Text? Перед тем ответить - читай вот это

Цитата:
а о том, что при таких раскладах не возможно гарантировать сохраность данных, так и отсутствие других проблем

"А мужики-то не знают" (с)
Далее оффтоп и без личностей

Цитата:
На правах рекламы: а вот Касперский на этой выставке раздавал БЕЗПЛАТНО презервативы, в упаковках от AVP c надписью «Security!!! Kaspersky Security Lab». Ну видать, это тоже секьюрити, жалко что я себе такой артефакт не оставил.

Да, даже Касперский понимает, что некоторым людям лучше не оставлять после себя потомство.
Автор: yarasha
Дата сообщения: 04.11.2008 15:38

Цитата:
ilion уже намекнул на твою не большую грамоность. Может расскажешь, чем тогда NTLM отличается от Plain Text?


Ладно, я скажу (c).
Клянусь своей тюбитейкой - это все же мой последний пост на эту тему. Пишу через силу, только чтобы оставить за собой последнее слово.
Во первых -нет времени и желания, да и не интересно это мне.
Во вторых, зарекся я писать в этой ветке по даному вопросу. NTLM это только ИМХО 10% проблем с безопасностью в Share Point, просто они начинаютя уже при попытки логина. Но это вообще НЕ ГЛАВНОЕ. Зри в корень. (c). Рассмотрение NTLM наверняка должно идти отдельно. В рамках Share POint - на мой взгляд это офтопик.
В третих - ilion в чем-то определенно прав.

Касательно NTLM, то информация есть даже на public ресурсах, ее достаточно легко найти ну хотя – бы
http://www.securitylab.ru/contest/212100.php
обязательно читаем вместе c коментами:
http://www.securitylab.ru/forum/forum22/topic5945/messages/
Т.е. каждый запрос-ответ при NTLM-аутентификации сопровождался логином и паролем в явном (Base64) виде. Нонсенс..
Типа, доверьте M$ процесс логина, и оно залогинит вас по-любому, и хрен с ним, что пароль светится. ©
А ведь, обратите внимание статья написана в 2004 и у них, в статье еще хуже, есть proxy, у меня его нет, так как я с самого начала расматриваю вариант подключения к Share Point обыкновенного клиента через public (internet) сеть - где наличие proxy не есть факт по умолчанию.
Ниже приведенные логи полученны мной с помощью снифера при подключении через wlan (аэропорты, отели, выставки) к стоящему (Stand Alone) в интернете Share Point Server 2007 без AD. Прошу заметить, что клиент Firefox 3.0, специально взят, как более безопасный броузер, чем IE7. А ведь для полноценной работы с MOSS очень желателен именно IE. С IE будет тоже, только чуть хуже. Также помним, что есть еще как минимум, другие приложения MS Office 2007 (Outlook & etc).

Transmission Control Protocol, Src Port: http (80), Dst Port: sg-lm (1659), Seq: 1890, Ack: 825, Len: 1360
...........
Src: Cisco-Li_e0:f0:b4 (00:21:29:e0:f0:b4), Dst: Lite-OnT_ee:8b:f6 (00:16:44:ee:8b:f6)
Internet Protocol, Src: 66.66.66.66 (66.66.66.66), Dst: 77.77.77.77 (77.77.77.77)
Transmission Control Protocol, Src Port: http (80), Dst Port: sg-lm (1659), Seq: 3250, Ack: 825, Len: 717
[Reassembled TCP Segments (2077 bytes): #2425(1360), #2426(717)]
Hypertext Transfer Protocol
...........
Server: Microsoft-IIS/6.0\r\n
[truncated] WWW-Authenticate: NTLM TlRMTVNTUAACAAAADgAOADgAAAAFgooCUZGrQkLX+qAAAAAAAAAAAJwAnABGAAAABQLODgAAAA9IADgAMAA1ADUAMQA0AAIADgBIADgAMAA1ADUAMQA0AAEADgBIADgAMAA1ADUAMQA0AAQANgBIADgAMAA1ADUAMQA0AC4AUwBFAFIAVgBFAFIASwBPAE0AUABFAFQARQBO
MicrosoftSharePointTeamServices: 12.0.0.6039\r\n
X-Powered-By: ASP.NET\r\n
Date: ...........
NTLMSSP_AUTH, User: \AE
User Name: AE
Domain Name: NULL
Host Name: Blabla
..........
Hypertext Transfer Protocol
..........
Host: vasya.pupkin.com \r\n
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Authorization: NTLM TlRMTVNTUAADAAAAGAAYAFQAAAAYABgAbAAAAAAAAABAAAAABAAEAEAAAAAQABAARAAAAAAAAAAAAAAABYIIAEEARQBEAEIANwBaAEwAVgAzAEoA03uo6pVcLJcAAAAAAAAAAAAAAAAAAAAAGqQEMI5sT+b5tqk4nns0mTXd2pcVk0s0\r\n

IP адреса и имена, сорри, я таки изенил.
IP 66.66.66.66 - это честный public IP Сервера, IP 77.77.77.77 - IP клиента. Все остальное оставил, как есть.

из вышеперечисленного видим:

1.    NTLM кеш - читается элементарно
2.    реальное имя пользователя доменого или локального в чистом виде.
3.    Domain name - у меня NULL, в случае с доменом видно в чистом виде.
4.    Host name клиента и структуру Share Point Server ( например DNS Name и структуру, имя, располоение запрошеных страниц на сервере)в чистом виде.

Не правда ли полный мамаду??? 


Цитата:
Ссылку. Гугл об этом ничего не знает. И я не очень понимаю, как можно, не зная закрытого ключа, расшифровать а затем снова зашифровать сообщение HTTPS.



И самое последее, касательно сертификатов, там используется похожая технология, как man-in-the-middle. Что бы найти описание, то что я имел ввиду, надо ИМХО спросить правильный гугл - обязательно на правильном языке. Верю. Очень может быть, что на русском общедоступного описанияния еще нет. Ищите, и да прибудет с вами сила, я же удаляюсь, итак я развелся на пару ссылок для студии, изначально, вообще не собраясь встревать в дискусию, и отвечаяя только на понравившийся мне вопрос о практическом опыте. Сам этот вопрос задаю очень часто.

Все. Чао.

Автор: FreemanRU
Дата сообщения: 04.11.2008 22:07
yarasha

Цитата:
Т.е. каждый запрос-ответ при NTLM-аутентификации сопровождался логином и паролем в явном (Base64) виде. Нонсенс..
Типа, доверьте M$ процесс логина, и оно залогинит вас по-любому, и хрен с ним, что пароль светится. ©

Ну читайте: "И правда, это не браузер выдаёт, а чел в дополнительной программе ещё раз всё указал, а она отправляла на сервер. IE непричём".

Т.е. данный метод равносилен "терморектальному криптоанализу".

Опять фигню копипастим?


Цитата:
1. NTLM кеш - читается элементарно
2. реальное имя пользователя доменого или локального в чистом виде.
3. Domain name - у меня NULL, в случае с доменом видно в чистом виде.
4. Host name клиента и структуру Share Point Server ( например DNS Name и структуру, имя, располоение запрошеных страниц на сервере)в чистом виде

1. Ужос нах. И что дальше с ним делать? Получать пароль? Не проще кейлогер поставить?
2. Это RTFM
3. Как и это..
4. И это тоже.


Цитата:
И самое последее, касательно сертификатов

Опять болтовня, никакой инфы. Наверное из той же оперы - куча софта, физический доступ к клиенту и к серверу и пару сотен "если".
Я так тоже могу сказать - я видел, как чел отломал "одним Perl-ом и ассемблером" (с) все сервера на свете.
Автор: laggy
Дата сообщения: 13.11.2008 09:58
Доброе время суток - у меня возник вопрос по Работе с календарем... Ситуация такая - у меня есть таблица в excel где в принципе и велся общий график событий... есть-ли какая возможность в Sharepoint server 2007 что-бы эту таблицу в календарь превратить!? Сколько просто не пытаюсь - подгружаю таблицу на узел, форматирую ряд календаря, вставляю ряд в календарь в режиме событий, а мне ошибку выдает ошибку проверки данных, может кто подскажет что не так!?
Автор: plasticman
Дата сообщения: 13.11.2008 10:11
Подскажите, возможно ли настроить оповещения, что бы они рассылались только при изменениях в одной папке из библиотеки? Изменения в других папках должны игнорироваться.
Автор: laggy
Дата сообщения: 13.11.2008 11:03

Цитата:
Подскажите, возможно ли настроить оповещения, что бы они рассылались только при изменениях в одной папке из библиотеки? Изменения в других папках должны игнорироваться.

Это надо настраивать непосредственно в свойствах самой папки
Автор: bogadar
Дата сообщения: 14.11.2008 15:30
Передомной руководство поставило задачи внедрения Windows SharePoint (версия 3.0)

Имеем : Контроллер домена , Секондари катроллер домена , почтовый сервер вынесен в интернет на ексченч денег недают ..

Порталы все роботаетают те кто в домене могут спокойно захадить и роботать .

Все палучилось освоить и внедрить кроме 2 проблем .

1 при попытке в личном календаре аутлука падключенного к портала , создать задачу выдает ошибку о том что : папки windows sharepoint service доступны только для чтения

вот 2 скриншота



http://shareua.com/files/show/1905491/adsd.JPG.html

http://shareua.com/files/show/1905481/ads.JPG.html
Автор: Petro
Дата сообщения: 16.11.2008 16:00
А можно в документах в контекстном меню "отправить" добавить еще пункт отправить как вложение, ни или типа того. Ну короче "отправить ссылку" есть, но если мне надо отправить документ по почте как вложение?
Автор: laggy
Дата сообщения: 17.11.2008 09:26

Цитата:
1 при попытке в личном календаре аутлука падключенного к портала , создать задачу выдает ошибку о том что : папки windows sharepoint service доступны только для чтения


В пакете офиса 2007 эта проблема решена до 2007 это решается поднятием Exchange сервера!




Цитата:
А можно в документах в контекстном меню "отправить" добавить еще пункт отправить как вложение, ни или типа того. Ну короче "отправить ссылку" есть, но если мне надо отправить документ по почте как вложение?


а нафига тебе оно? если можно документ назначить и оповестить об этом адресата? А адресат в свою очередь получив извещение по почте идет сразу за документом!


Народ мой вопрос все еще актуален!
Автор: Petro
Дата сообщения: 18.11.2008 09:27

Цитата:
а нафига тебе оно? если можно документ назначить и оповестить об этом адресата? А адресат в свою очередь получив извещение по почте идет сразу за документом!

Да просто напросто для того, чтобы редактор мог отправить документ автору на утверждение или согласование который находится в другой стране и доступ к серверу не имеет и иметь никогда не будет.
Автор: greenfox
Дата сообщения: 18.11.2008 12:28
Подскажите, а для MOSS2007 есть что-н наподобии WiKi или какой-н шаблон что бы удобный FAQ организовать?

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465

Предыдущая тема: Безопасность локальной сети с роутером


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.