fatalicus Skrevet 20. september 2006 Del Skrevet 20. september 2006 hei alle sammen! jeg sitter her på et nettverk med flere windows 2003 servere, og har kommet over noe som kan være potensielt skadelig for nettverket. 1) Brukere på nettverket er alle satt til priviligerte brukere på de lokale maskinene (av grunner som de fleste kanske vet..). ulempen med dette er at priviligerte brukere har skrive rettigheter på mappen "all users". en liten .bat eller .exe fil der med ikke så vennlig kode, så kan hele nettverket fort være tap for oss... jeg lurte på om noen vet om noen måte å gjøre om dette på alle maskinene på nettverket raskt og enkelt? vi har over 600 maskiner (stasjonære og bærbare) totalt, så det å gå fra makin til maskin og ordne rettighetene går litt for sakte. så langt har jeg prøvd å bruke AI Snapshot som er med Symantec ghost for å gjøre dette, men uten hell... jeg har heller ikke funnet noe som funker i gruppe policy på serveren. den eneste løsningen jeg kan se som vil funke sånn nogen lunde er å lage nye Ghost image av alle maskinene der disse rettighets probleme er rettet. men siden vi har mange forskjellige maskiner, og noen steder skal de ha andre programmer en det de skal ha andre steder, vil dette også ta rimelig lang tid.. så alle mulige forslag er velkomne! og så videre til brist nummer 2: 2) vi har sett på nettverket vårt her at brukere har mulighet til fjerne arving av mappe rettigheter på hjemmeområdene sine. faktisk kan de dette på alle mappene på maskinene våre. dette er et problem siden de da kan fjerne arvingen, for så å fjerne administratorene fra rettighets listene sine, og dermed effektivt skjule pottensielt skadelige filer fra oss. dette problemet er jo nokså beslektet med det første problemet, og tar jeg ikke så mye feil er nok løsningene ganske lik, men jeg klarer bare ikke å finne noen løsning på dette. som sakt, alle forslag er velkomne! Lenke til kommentar
tyldum Skrevet 21. september 2006 Del Skrevet 21. september 2006 Vet ikke om jeg følger deg helt på problem 1: De vil kun ødelegge for sin egen maskin? Alternativt kan du kjøre mandatory profile. Pronlem 2: Gi brukerne alle tilganger med unntak av 'full access'. Den gjør at de kan endre rettigheter og dermed også arv. Lag retningslinjer for brukerne med konsekvenser dersom de blir brutt. Du kan lage tekniske sperrer til du blir blå, men det vil alltids komme noe ny morro de kan drive med. Brukere må oppdras Lenke til kommentar
fatalicus Skrevet 24. september 2006 Forfatter Del Skrevet 24. september 2006 fikk dessverre ikke sjekket for svar før i dag pga. nett problemer. jeg skal teste løsningen på problem 2 når jeg kommer tilbake på jobb i morgen, forhåpentlig vis så vil det virke! grunnen til at problem 1 er et problem er det at så lenge brukerne har rettigheter til "all users" mappa så kan de legge f.eks. en .bat fil i oppstarts mappa der, og bare legge inn i koden at .bat filen skal utføre den skadelige koden så fort en bruker med administrator tilgang logger på maskinen. jeg har en venn som laget nettopp en slik .bat fil. denne filen kunne legges i oppstarts mappen på "all users" og når en av administratorene hadde logget på ville .bat filen brukt den administrator kontoen til å lage en ny administrator konto på nettverket, slette alle andre administratorer og brukere, og tilslutt slette den administrator kontoen som er logget på. alt dette ble gjort på en slik måte at det så ut som den normale login.bat filen. som sakt, takk for hjelpen med en løsning for problem 2, og forhåpentlig vis vil dette løse det problemet! takker! Lenke til kommentar
JohndoeMAKT Skrevet 24. september 2006 Del Skrevet 24. september 2006 Kan løsningen på begge problemene være cacls.exe ? Jeg vet ikke hvordan dere kontrollerer/styrer maskinene deres, men det burde vel relativt lett gå ann å kjøre en ferdig bat-fil som setter tilgangen over nettverket som en priviligert bruker. Lenke til kommentar
fatalicus Skrevet 25. september 2006 Forfatter Del Skrevet 25. september 2006 Tyldum: Jeg sjekke rettighets nivået på brukerenes mapper nå, og ser at de ikke har "full access" fra før av. prøvde også å fjerne "modify" men dette hjalp heller ikke. har også sett litt rundt på avanserte premisions, men av en eller annen grun så vil ikke de tillatelsene jeg setter der fungere på undermapper som bruekren selv lager, selv om jeg har satt det til å gjøre det. JohndoeMAKT: jeg tenkte på å bruke cacls til å gjøre jobben, siden det da hadde bare vært å legge en linje i logon skriptet og la den ligge der noen dager til vi er sikker på at alle maskinen har blitt logget på minst 1 gang. men husker jeg ikke mye feil, så fant jeg noe ved det som gjorde meg skeptisk til å bruke den, men jeg husker ikke hva det var akkurat nå, så jeg må se igjennom notatene mine for å finne det. takker for all hjelpen så langt! hvis jeg fortsetter å få slik hjelp så er jeg sikker på at vi finner en løsning! (om ikke til disse problemene, så i hvertfall til en hel haug andre!) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå