[ gogi100 @ 09.02.2009. 14:35 ] @
|
| imam 40 tak racunara pod Win XP u domainu pod Win 2003 standard. Dakle na serveru je Active Directory, DHCP, DNS. Desila mi se cudna stvar na 2 klijent racunara. korisnici su uspeli preko svojih naloga da obrisu i instaliraju Mozilu firefox. Gledao sam ova dva naloga u acitve directory i pripadaju grupi domain/users i dvema grupama u kojima imaju full control na dva sharovna foldera koja su na serveru.Podrazumeva se da grupa users ne moze da instalira programe odakle sad ova dva mogu? moze li mi ko reci gde je greska i sta mi predlazete?
hvala |
[ bachi @ 09.02.2009. 16:05 ] @
Iako u useri na domenu, vrlo je moguće da je taj domenski nalog u stvari administrator na lokalnoj mašini. A ako pak nije, onda su se logovali sa lokalnim admin nalogom i instalirali FF.
[ Marcony @ 09.02.2009. 19:43 ] @
Ili mozda imaju portabilni FF?
[ gogi100 @ 09.02.2009. 22:43 ] @
korisnik kaze da je sa neta skinuo najnoviji FF i da ga je instalirao. Sve mi se cini da je kolega administrator koji radi samnom dao administrator prava tom nalogu. drugo ne vidim da bi moglo sta drugo a se uradi ili da je usao na lokal administrator nalog
[ someone_bl @ 13.02.2009. 10:27 ] @
to je odavno poznato da moze, jer ff ne koristi pristup program files nego se smjesta u dio profila gdje korisnik ima prava pisanja, kao i njegov dio registry-ja. jedini nacin da to sredis ti je software restriction policy koji ce da prati da se samo mogu pokrenuti apppliakcije iz program filesa
[ gogi100 @ 04.03.2009. 17:57 ] @
evo danas mi se desilo da korisnik instalirao nokia suite program za prebacivanje muzike i slika iz telefona u kompjuter. Izgleda da i ovaj noki-a alat radi isto upis u delu gde korisnik ima pravo pristupa. Zanci samo da u domenskoj polisi jednostavno omogucim samo pokretanje programa iz program files? to je vas savet?
[ Karbo @ 22.03.2009. 14:33 ] @
Ko god da je radio Security and Group Policy, nije je dobro uradio.
[ someone_bl @ 23.03.2009. 18:38 ] @
Software restriction policy svakako ce da ti rijesi problem. Ako ti treba visi nivo sigurnosti mozes da ogranicis pokretanje samo na hash ili na naziv, ali za pocetak putanja ce ti biti dovoljna
[ gogi100 @ 24.03.2009. 05:51 ] @
software restriction policy se primenjuje na doamin group policy?
[ someone_bl @ 24.03.2009. 07:28 ] @
DA. mozes primjeniti kako zelis... mozes cak podesiti i na stand alone masini.
[ gogi100 @ 06.04.2009. 20:11 ] @
mozete limi dati neka uputstva oko postavljanja software restriction policy jer sam citao
da postoji 4 mogucnosti za identifikovanje software:
Hash—A cryptographic fingerprint of the file.
Certificate—A software publisher certificate used to digitally sign a file.
Path—The local or universal naming convention (UNC) path of where the file is stored.
Zone—Internet Zone
Sta koristiti od ova 4? Naravno trebao bih da izuzmem administratore iz ovih restrikcija. to sam nasao u uputstvu.
U ovim uputstvima sto sam citao sa microsoftovog sajta sva se odnose na onemogucavanje pokretanja odredjenih programa,ali nigde nisam nasao kako onemoguciti korisnika da instalira program
Meni je potrebno da korisnici ne mogu da instaliraju nijedan program.
Sta treba postaviti u software restriction policy?
Hvala
[ someone_bl @ 07.04.2009. 13:43 ] @
Hash i path ce ti biti apsolutno dovoljni.
[ gogi100 @ 07.04.2009. 20:18 ] @
moze li za hash i path neko detaljnije uputstvo?
hvala
[ AleksandarNS @ 09.04.2009. 16:02 ] @
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|