» Флейм для сисадминов.

Подсказали, что это может быть, из-за превышения допустимого количества компьютеров, включаемых в домен одним юзером (10 штук по умолчанию).
Похоже так и есть...
Многие бухгалтеры лезут под одним именем.
Там рулят 1С-ники. А к нам обращаются с проблемами. Уже давно советовал создать список с логинами, что-бы каждый заходил в домен под своим, определиться с доступом к ресурсам по группам пользователей.

Looking
Загляни на прошлую страницу. Я там тебе дал ссылку пока ты этот пост писал

Подсказали, что это может быть, из-за превышения допустимого количества компьютеров, включаемых в домен одним юзером (10 штук по умолчанию).
Похоже так и есть...
Многие бухгалтеры лезут под одним именем.
Там рулят 1С-ники. А к нам обращаются с проблемами. Уже давно советовал создать список с логинами, что-бы каждый заходил в домен под своим, определиться с доступом к ресурсам по группам пользователей.

Здорова, отцы!
неужели никто не сталкивался!?
http://www.forum.ru-board.com/topic.cgi?forum=8&topic=10412#15

сегодня кто-то из сетки досил мой апач запросами типа:

Код: GET /?C=N&O=XSS@<xscript>XSS</xscript>.com HTTP/1.0" 200 1132

Maxer
Если это твоя локалка - смотри логи шлюза/роутера(мне кажется вполне логично сначала отсечь возможность атаки извне).... Если домашняя сетка провайдера - стучи им.

Maxer
Это чистой воды спуфинг. Если это локалка, то пиши пакеты и пытайся выяснить кто их хозяин - по MAC адресу, если твой "доброжелатель" не догадался его сменить.

Цитата:

смотри логи шлюза/роутера

в интернете я не был когда проводилась атака

Цитата:

то пиши пакеты и пытайся выяснить кто их хозяин - по MAC адресу

ок, какой прогой это можно сделать?

Maxer

Цитата:

в интернете я не был когда проводилась атака

Хм... интересная логика... у тебя интернет вырубается рубильником? Как ты в нём не был?

XMMS
нет, я к нему коннекчусь

http://www.livejournal.com/users/to_the_future/142843.html?style=mine

зачот

I.M.H.O. Maxer ты гонишь, как всегда. "ай-пи адрес был 192.168.40.17, но такого в сети нету." Если нету, значит нету, кто-же геты слал?
Значит был, значит можно просто воткнутся и работать, где такой заповедник?

Ici Chacal
он не пинговался, его не было

Maxer

Цитата:

какой прогой это можно сделать?

Ethereal. Проще некуда.

Ici Chacal

Цитата:

Если нету, значит нету, кто-же геты слал?

Если IP нет, то это не значит, что его небыло или его не подделали.

Добавлено:
Lamerok

Цитата:

http://www.livejournal.com/users/to_the_future/142843.html?style=mine

Так вот он какой, админ в военное время %)

атака повторилась, теперь ещё более злостный дос вот такими пакетами

Цитата:

Packet #9790, Direction: In, Time:16:57:34,999160, Size: 62
Ethernet II
    Destination MAC: 00:07:E9:DB:2D:DF
    Source MAC: 00:01:80:53:07:72
    Ethertype: 0x0800 (2048) - IP
IP
    IP version: 0x04 (4)
    Header length: 0x05 (5) - 20 bytes
    Type of service: 0x00 (0)
        Precedence: 000 - Routine
        Delay: 0 - Normal delay
        Throughput: 0 - Normal throughput
        Reliability: 0 - Normal reliability
    Total length: 0x0030 (48)
    ID: 0x8B2D (35629)
    Flags
        Don't fragment bit: 1 - Don't fragment
        More fragments bit: 0 - Last fragment
    Fragment offset: 0x0000 (0)
    Time to live: 0x80 (128)
    Protocol: 0x06 (6) - TCP
    Checksum: 0x9E22 (40482) - correct
    Source IP: 192.168.40.17
    Destination IP: 192.168.40.22
    IP Options: None
TCP
    Source port: 2506
    Destination port: 56903
    Sequence: 0xB814310C (3088331020)
    Acknowledgement: 0x00000000 (0)
    Header length: 0x07 (7) - 28 bytes
    Flags: SYN
        URG: 0
        ACK: 0
        PSH: 0
        RST: 0
        SYN: 1
        FIN: 0
    Window: 0xFFFF (65535)
    Checksum: 0xE074 (57460) - correct
    Urgent Pointer: 0x0000 (0)
    TCP Options
        Maximum Segment Size: 0x05B4 (1460)
        Sack-Permitted
    Data length: 0x0 (0)
Raw Data:
0x0000 00 07 E9 DB 2D DF 00 01-80 53 07 72 08 00 45 00 ..&#233;&#219;-&#223;..€S.r..E.
0x0010 00 30 8B 2D 40 00 80 06-9E 22 C0 A8 28 11 C0 A8 .0‹-@.€.&#382;"&#192;&#168;(.&#192;&#168;
0x0020 28 16 09 CA DE 47 B8 14-31 0C 00 00 00 00 70 02 (..&#202;&#222;G&#184;.1.....p.
0x0030 FF FF E0 74 00 00 02 04-05 B4 01 01 04 02 &#255;&#255;&#224;t.....&#180;....

Добавлено:
чем можно просканировать сеть чтобы узнать MAC адрес каждого?

Maxer
Netview - ARP.

хмм, странновато...

Цитата:

192.168.40.17    192.168.40.17        00:01:80:53:07:72

и уже далеко не смешно...

Добавлено:

Цитата:

>ping 192.168.40.17 -t

Pinging 192.168.40.17 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Цитата:

и уже далеко не смешно...

Не вижу сути вопроса... возможно эта машина взломана или на ней троян. А может и юзер шалит.

Добавлено:
Ну и? Фаерволл может стоит.

XMMS

Цитата:

Ну и? Фаерволл может стоит.

и пинг не пропускает, всё ясно.
спасибо, буду типа вычислять и руки ему ломать.

Короче. Если это ТВОЯ сеть, и ты не можешь найти 192.168.40.17, то повторяй пинг всех IP + ARP раз в час... желательно с со шлюза(ибо от него они полностью никак защитится не смогут). И ищи этот мак.
Если не твоя - СТУЧИ этой инфой провайдеру.

Maxer

Цитата:

буду типа вычислять и руки ему ломать.

у себя закрой все пакеты с этого IP и спи спокойно.

Felix
теперь фаервол установил.

Подскажите, где узнать, как закрыть доступ к ПРОСМОТРУ содержимого ОПРЕДЕЛЕННЫХ дисков, т.е., например, диску C, E. Т.е. запуск программ с этих дисков чтобы был возможен (с помощью ярлыков на раб. столе), а просмотр и соответственно ручное изменение содержимого - нет.

Grom007

Цитата:

Т.е. запуск программ с этих дисков чтобы был возможен (с помощью ярлыков на раб. столе), а просмотр и соответственно ручное изменение содержимого - нет.

Скорее всего никак, т.к. запуск програм потребует разрешения на просмотр папок которое ты хочешь убрать.

Ребята, помогите, задача следующая научиться писать сценарии в AD. Я даже не представляю что нужно учить, какие (по тематике) книги читать. Подскажите. Заранее благодарен.

gorg
http://forum.ru-board.com/topic.cgi?forum=8&topic=1908#1

Добавлено:
Grom007
С помошью ГПО убрать скрыть эти диски и запретить ним доступ. Только позаботься, чтобы не было ни FAR-ов ни других файловых манагеров.
Администартивные шаблоны->Компоненты Windows->Проводник

Цитата:

Добавлено:
Grom007
С помошью ГПО убрать скрыть эти диски и запретить ним доступ. Только позаботься, чтобы не было ни FAR-ов ни других файловых манагеров.
Администартивные шаблоны->Компоненты Windows->Проводник

Сорри, но что такое ГПО?

И насчтет срытия и ограничения по просмотру:

если в реестре в ветке:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVercion\Policies\Explorer

создать параметр DWORD
NoDrives=ffffffff, то ВСЕ диски будут скрыты,
если создать тоже параметр DWORD
NoVeiwOnDrive=ffffffff, то все будет нормально работать, но просмотреть содержимое ВСЕХ дисков будет невозможно - будет выдаваться сообщение, что это запрещено.

Я же хочу скрыть не все диски, а только определенные, а к другим, таким как флоппик, сидюк, флешки и логический раздел винчестера доступ ограничивать путем разделения доступа NTFS.

Grom007
А ты не пиши там ffffffff. Это битовая маска. Младшие 26 бит отвечают за скрытие дисков. 0 бит - диск A, 1 бит - диск B и т.д. Если бит установлен в 1 диск скрывается.

Цитата:

Скрытие значков дисков в окне Мой компьютер и Проводник
Если вы хотите скрыть значки дисков в окне Мой компьютер и Проводник, то откройте раздел

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer
и создайте параметр NoDrives типа DWORD с требуемым значением. Также будут скрыты эти значки и в стандартных окнах Открытия и Сохранения файлов. Тем не менее, пользователь по-прежнему имеет доступ к этим дискам (через команду Выполнить или печатая вручную адрес в адресной строке Проводника)
Данный параметр является набором битовых флагов. Каждый бит соответствует одному из 26 возможных имен дисков. Каждому диску присваиваются значения (hex): A -1; B - 2; C - 4 и т.д. Чтобы скрыть нужные вам диски, нужно сложить эти биты. Сложность состоит в переводе двоичного значения в шестнадцатиричное. Здесь приводится небольшой список возможных значений 0x03FFFFFF Скрывает все значки
0x3 Скрывает только диски A и B
0x4 Скрывает только диск C
0x8 Скрывает только диск D
0x7 Скрывает только диски A, B и C
0xF Скрывает только диски A, B, C и D
0x0 Видны все диски
Можно использовать и десятичную систему. Смотри совет ниже.

Запрет на доступ к содержимому выбранных дисков
Можно не скрывать сами значки дисков, но запретить пользователю доступ к файлам заданных дисков через Проводник, Мой компьютер, Выполнить или команду Dir. Откройте реестр и создайте параметр NoViewOnDrive типа DWORD в разделе

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
содержащий битовую маску для дисков. Например, диск A имеет бит 1, диск С - 4, диск D - 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.
Список всех дисков:
A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863

© 2002-2004 А.Климов, И. Чеботарев

Огромное спасибо!