Архив форумов ЦИТФорума

[TechNoir]

На компьютере Windows 2000 Server SP3 стоит AD.

На нем оказывается работает куча различных сетевых служб.
На нем оказывается существуют куча расшаренных (но скрытых) сетевых ресурсов типа C$, D$, ADMIN$ и может быть т.д.

Мне необходимо чтобы Windows 2000 Server выполнял только функции AD, предоставления доступа к файлам по сети.
Удаленное администрирование желательно чтобы он НЕ поддерживал.

Также я хотел бы чтобы никто не мог увидеть скрытые ресурсы на нем не зная имени этого ресурса. Я с удивлением узнал что какая-то там прога PCRESView оказывается может получить полный список, в том числе и скрытых ресурсов. Меня это взбесило.

Как мне превратить W2K в непробиваемую крепость.

Народ, подключайтесь, тема серьезная.
Спасибо!
_________________
Vive la Russie!

[ALEX_SE]

1. Убрать атрибот "автозапуск" у кучи различных сетевых служб (за исключением службы удаленного управления реестром - без неё не будет работать служба маршрутизации и удаленного доступа).
2. При помощи редактора реестра или любой проги для администрирования виндуз убрать расшаренные ресурсы ($).
3. Снести такие нужные вещи как IIS, службы терминалов, и прочую ненужную лабуду (через установку и удаление компонентов Windows).
4. В политиках прописать доп. ограничения для анонимных клиентов, разрешить аутидентификацию только NTLM2 и запретить пересылку LanMan (обязательно!), настроить политику kerberos а так же политику учетных записей.
5. В настройках сетевого подключения, а так же в разделе "дополнительно" раздела "сеть и удаленный доступ к сети" убрать все привязки к NetBIOS и т.д., чтобы запретить любые ответы анонимным клиентам по портам 135, 137, 139, 445.
6. Поставить все последние патчи и сервиспаки, делать это регулярно. Никому не позволять работать на сервере локально. При необходимости поставить файрвол, например ISA, и обновления для него.
6. Создать и поддерживать в конторе нормальную антивирусную политику.
По поводу неотображения скрытых ресурсов - не знаю.

[and3008]

Официальным скрытым ресурсом является ресурс с $ на конце.
Однако тот же самый Far эти ресурсы видит.

Истинно скрытые ресурсы можно сделать только в Samba. Их не видно вообще. Проверено и работает. У меня бухгалтерия так живет.
Однако это уже UNIX, а не W2K...

[And]

Дело в том, что по умолчанию W2K делает следующие скрытые ресурсы для администрирования а именно: Все диски на данном компьютере например с$ D$ и т.д. еще IPC$ удаленный IPC Admin$ удаленный Admin, если есть принтеры то print$ драйвера принтеров. Доступ к этим ресурсам только под учетной записью администратора. Если надо это отключить то Запускаешь REGEDIT, заходишь в HLKM\SYSTEM\CurrentControlSet\Services\LanmanServer\Paramete rs\
Добавь параметр REG_DWORD с названием:
для SERVER-AutoShareServer
для WKS-AutoShareWks
со значением 0.
Перезагружаем тачку и все. Но если кто то разнюхал пароль админа то можно удаленно подключиться к реестру и исправить данные значения и опять получить доступ ))

[And]

-

[4u3u]

Да, win2k по умолчанию запускает множество сервисов, ну так это общеизвестно. Одна из первых задач после установки win2k сервера - тюнинг.
Административные шары, во-первых, используются многими программами администрирования, системами антивирусной защиты предприятия и т.п. Во-вторых, доступ к ним имеют только административные учетные записи, так что я не пойму, чего это ты всполошился. Ты же не боишься, например, расшаривать папки для юзеров

Добавлю еще, что, если удаленное управление точно не нужно, то стоит отключить так же службу "Remote Registry".
И в политиках не забудь включить restictions для EventViewer'а. Я в свое время был сильно удивлен, когда обнаружил, что все юзеры могут просматривать EventLog'и сервера

Вообще говоря, Securing Windows 2000 - это довольно обширная область. Рекомендую почитать что-нибудь из ResourceKit или на www.microsoft.com/technet по этому поводу. Чтобы подходить к вопросу комплексно, а не шить лоскутное одеяло твиков.

[ALEX_SE]

-

[TechNoir]

-
_________________
Vive la Russie!