» Флейм для сисадминов (часть III)

NaxAlex
ха! а победил, однако.. приколюха из серии "сам дурак".. :)
Цитата:

Гугл и Яндекс на эту тему много разного говорит

эт да, сам второй день рыл, но них.я полезного и нового не узнал - всё уже на сто раз было проверено..

карочь.. прикол был в том, что в безопе в параметре "отказ в доступе из сети" стояло "пользователи"..
убрал ваще - и пошло всё.. так и не понял, с какого хрена админ в пользователи затесалсо.. ж:о
вопчем, век живи.. а на грабли всё одно наступишь.. :)

Добавлено:
Alukardd
Цитата:

если за локального админа пытаетесь, мб он просто отключен?)

не, эти трюки ужо проходили, в первую очередь проверял..
ну, отписалсо уже.. и на старушку прорушка бывает.. ;)

Цитата:

карочь.. прикол был в том, что в безопе в параметре "отказ в доступе из сети" стояло "пользователи"..
убрал ваще - и пошло всё.. так и не понял, с какого хрена админ в пользователи затесалсо.. ж:о

хех любопытно, такую версию не проверял Вроде как по умолчанию админ есть админ и не может быть в группе пользователи...

NaxAlex
Цитата:

хех любопытно

дык вот и я, когда косяк пофиксил, аж охренел чуток.. :)
добро бы там стояло "все", дык нет же - было именно "пользователи"..
и у одмина спецом вхождение в группы проверил - всё чисто, тока "одмины" и стоит..

Alukardd

Цитата:

Щас глянул, на XP SP2 на вкладке "Проверка подлинности" есть галочка 802.1х и с возможностью MD5, только я когда про все это читал, то считал, что там что-то типа пароля... а теперь даже хз как RADIUS сервер это все проверяет?) по каким параметрам он авторизовывает клиента...

При подключении локалки появляется окно логин\пароль


Добавлено:
Я могу выложить сканы лабы от Zyxel связанные с 802.1x если найду куда сунул их.

goletsa
Цитата:

При подключении локалки появляется окно логин\пароль

где появляется?) до входа пользователя в систему? оО
А нельзя ли это дело автоматически сделать хотя бы на уровне сохранить пароль,а лучше не вылезать с заполненными полями?!

Задам вопрос сюда))

в Win7 starter и других редакций можно создавать постоянные pppoe сессии? Что-то ковырялся не нашел, через бридж не вопрос работает.
Опыта с w7 нет совсем гугл тока про бридж pppoe говорит...

Alukardd
Поидее еще должна быть авторизация связанная с AD.
Но надо изучать этот вопрос.

goletsa
ок сначала с петлей разберусь....

Ребят, а как вы боритесь с несанкционированными подключениями к локальной сети?

И сюда же, как быть с теми кто захотел выйти в инет с юсб модема на рабочем компе?

NaxAlex
1) Приказ.
2) Я слышал про программу. ее суть, что если кабель отсоединяется, то розетка блокируется. Как было реализовано - не знаю.

Цитата:

И сюда же, как быть с теми кто захотел выйти в инет с юсб модема на рабочем компе?

А откуда у пользователя права, чтобы подключить USB устройство?

Mushroomer
Цитата:

А откуда у пользователя права, чтобы подключить USB устройство?

да хотя бы оттуда что разрешены флешки...

Mushroomer
флешки нужны, никуда не денешся, хотя блин они источник заразы стали почище интернета
Хотя вот если разрешить работать с usb только разрешенным девайсам...

Прочитал тут про изоляцию домена посредством IPSec, несложно, хотя бы хоть такую защиту... а ведь через IPSec можно запретить http и как следствие usb модемы и без файрвола

А правильные пацаны, то есть тру админы, интересно какими средствами рулят...))

NaxAlex
копай в сторону настройки групповых политик (не обязательно в домене) и подрезания прав юзеров..
моня так настроить, што кроме запуска 2-3 софтин юзер ничё сделать не сможет в принципе..
ну и, ессно, административные меры - всякие инструкции/приказы/контроль.. и инквизиция.. ;)

Добавлено:
Alukardd
Цитата:

хотя бы оттуда что разрешены флешки

..что, вопчем-то, само по себе не даёт юзеру прав на установку дров для всяких сторонних девайсов..
равно как и на замену/установку прочего "левого" софта.. хоть бы и с тех же флэшек.. :)
ну, ессно - при правильной организации одминского дела.. ;)

TheBarmaley
Цитата:

установку дров

ай абдурахман! забыл я о дровах к модемам)

Alukardd
вот именно.. юзеру дрова ни к чему - пущай со своими докУментами работает..
а дрова и прочая настройка - "не царское это дело".. ;)

NaxAlex
Цитата:

флешки нужны, никуда не денешся,

Никто и не спорит. во всей организации доступ к флешкам только с 3 компов. Из них 2 - это админы Пусть пользователь придет и ему запишут/спишут.

Цитата:

во всей организации доступ к флешкам только с 3 компов. Из них 2 - это админы

да, обрезанием прав я и займусь в первую очередь...

Mushroomer
Цитата:

доступ к флешкам только с 3 компов

аналогично, Ватсон.. поддерживаю полностью..
так и должно быть.. кому надо - пущай рапорт шефу пишут.. с нормальной мотивацией..
а обоснование "обрезания" - типа, "информационная безопасность", "враг не дремлет" и всё такое.. ;)

---

NaxAlex
Цитата:

обрезанием прав я и займусь в первую очередь

имхо, это надо было сделать ещё "вчера".. как тока ты стал одмином..
излишняя "демократия" оборачиваеццо в конечном щёте ба-а-альшим головняком..
и для руководства в том числе.. посему, проев мозги шефу и заручившись его поддержкой - резать нещадно..
лучше потом дать "послабление", если уж шибко достанут.. :)

подскажите как определить прописаны ли DNS-сервера, поддерживающие опредленное доменное имя, в файле зоны.

Подскажите пожалуста. Кинул вопрос сюда http://forum.ru-board.com/topic.cgi?forum=62&topic=10841&start=1740#5 но "ни ответа ни привета". Если кто-то реально настроил в подобной ситуации роутинг, подскажите в чем фишка. Я слышал есть трудности в настройках. Думаю работать с Kerio...

AndreusB
фишка в том что на ADSL-router (internet) IP:192.168.1.1 тоже должен быть статический маршрут: в сеть 192.160.66.0 через 192.168.1.10, а пока все ответные пакеты он пуляет в интернет.

NaxAlex

Цитата:

Ребят, а как вы боритесь с несанкционированными подключениями к локальной сети?

поможет DHCP
с
Цитата:

как быть с теми кто захотел выйти в инет с юсб модема на рабочем компе?

ввести комп в домен с ограничеными правами, запаролить встроеные учетные записи. как минимум это помодет в борьбе с простыми юзерами.

вопрос, кто может посоветовать или подсказать где разрабатывается ПО для банков, а именно интернет банк-клиенты, и есть ли компании которые могут сделать оценку по безопасности этого клиента.(независимые)

Leon1978, а смысл?

valmond25


Цитата:

поможет DHCP

одним DHCP не защитишся, даже он облегчит дело хакера, т.к. ненадо гадать какой IP поставить себе и какой днс/гейт.
а вот если в домене, то это другой вопрос.

contrafack

http://habrahabr.ru/blogs/infosecurity/104536/
Любопытный способ обойти запрет загрузки в биос
Вот так кулхацкеры потом и появляются))

Уважаемые, кто сталкивался с такой траблой:

Есть клиенты подключ.через vpn к ISA серверу. Через некоторое время начинает выбрасывать, в логах есть такие сообщения "The user domen\user connected on port VPN4-37 on 20.09.2010 at 8:17 and disconnected on 20.09.2010 at 14:50. The user was active for 392 minutes 43 seconds. 62105704 bytes were sent and 2773707 bytes were received. The reason for disconnecting was user request."

Может кто знает?

Добавлено:
А так же варнинги:

The user ggg connected from 192.168.0.11 but failed an authentication attempt due to the following reason: Authentication was not successful because an unknown user name or incorrect password was used.

Но их мало и не от тех клиентов, можно списать на не правильный ввод логина\пароля.

Добавлено:
Да, забыл, логи на ISA сервере привел. На клиенте нет возможности пока посмотреть, буду завтра смотреть...

есть флешка на 2 гига, на ней написано ocztechnology.com флешка не открывается, с помощью программы CheckUdisk 5.0 удалось получить следующие данные:


Цитата:

Name: SM325AB MEMORY BAR (USB2.0)

Logic Driver: G:\

VID&PID: Vid_090c&Pid_3000
Speed: high speed

VendorID:
ProductID: USB MEMORY BAR
Product Revision: 1000

Vendor Description: Silicon Motion,Inc.
Product Description: SM325AB MEMORY BAR
Serial Number:

Вобщем при попыдке открыть пишет Вставте диск.

подскажите реально ли ее восстановить, нужен один файл с флешки?

DJMC
R-studio?