Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Сетевик Гость
|
Добавлено: Чт Авг 12 2004 16:52 Заголовок сообщения: Безопасность локальной сети |
|
|
Есть сеть: 30 компов с XP, сервер W2000 домен. На сервере храняться документы юзеров, соответственно на сервере расшарины папки для каждого юзера. Ограничения на доступ у папок стандартные (общий ресурс + ntfs). Но существует куча прог, позволюящих взламывать эти общие папки если у тебя нет на них прав. Подскажите, как защитить папки на сервере или хотя бы знать, что юзер залазил не в свою папку. Спасибо |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Чт Авг 12 2004 17:28 Заголовок сообщения: |
|
|
Цитата: | Но существует куча прог, позволюящих взламывать эти общие папки если у тебя нет на них прав. |
Буду очень благодарен, если приведете в качестве примера несколько из них. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Чт Авг 12 2004 18:20 Заголовок сообщения: |
|
|
Andy_user
Запросто.
1. L0pthCrack или WinSniff при использовании пароля админа 123456, и включенным LanMan.
2. Взлом pwl-файла после входа админа на 98-й. Или взлом закешированого в SAM пароля админа тем же LCP4. Или как он там..
3. Кейлоггер админу на машину.
4. Использование эксплойтов к незакрытым уязвимостям.
5. гостевой вход на сервер
Продолжить?.. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 12 2004 21:15 Заголовок сообщения: |
|
|
Внедряйте биометрическую систему и обучайте, обучайте, обучайте пользователей.
Чему обучать? Ну к примеру не записывать пароль на бумажке и приклеивать к монитору или класть под клавиатуру.
Помните, что абсолютной защиты нет в природе. |
|
Вернуться к началу |
|
|
Santa Claus
Зарегистрирован: 09.08.2004 Сообщения: 9 Откуда: Cuba
|
Добавлено: Пт Авг 13 2004 08:51 Заголовок сообщения: Re: Безопасность локальной сети |
|
|
Сетевик писал(а): | Подскажите, как защитить папки на сервере или хотя бы знать, что юзер залазил не в свою папку. Спасибо |
Соблюдением стандартных процедур.
У кажд. юзера - свой пароль.
У юзера не д.б. админских прав.
Мин. длина пароля, периодич. его смена. Аудит.
На xp не помешает поставить sp2 + включить встроенн. файрвол.
Патчится. Установить антивирус.
Разработка и внедрение политики инф. безопасности.
На сервер можно установить snort. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Авг 13 2004 09:12 Заголовок сообщения: |
|
|
Мдя...
SP2 для XP не всеми протестирован. Можно влететь в несовместимость приложений. IBM уже запретила устанавливать SP2 до особого распоряжения.
А Snort-у нефига делать на сервере. Для него лучше выделить отдельный сервер. IDS-система должна жыть отдельно. |
|
Вернуться к началу |
|
|
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Сб Авг 14 2004 14:28 Заголовок сообщения: |
|
|
1. админ не должен заходить с локальных машин на сервер (а собственно нафига?).
2. SAM на машине хранит локальные учетные записи. Учетные записи АД там не хранятся. Взломать SAM на работающей машине невозможно. Но возможно взять резервный SAM - %Systemroot%\Repair. Удалите эти SAM.
3. В политиках безопасности указать "Аудит доступа к глобальным объектам" и настроить аудит в папках
4. Но логи читать - умрешь
5. включить блокировку
6. включить керберос.
7. можно еще настроить доступ учетной записи с определенной рабочей станции.
8. Чуть не забыла про политику паролей - пароли менять, требовать неповторяемости, не менее 7 символов, проверка сложности паролей.
это как бы стандартный минимальный набор, без использования стороннего ПО.
Дальше - только за деньги =) Например использовать свичи вместо хабов, настроить IDS _________________ nothing else |
|
Вернуться к началу |
|
|
|