Ай да Билли !

Ну, это - вааще ! Все остальные дыры Мокрософта меркнут перед этой воистину Черной Дырой !

Бездоменная сетка под W2K. Установлены все сервис-паки и все апдейты (SP4+40 с лишним обновлений). Доступ к дискам юзеров закрыт. Открыты лишь 1-2 папочки, и то - на чтение.

Обращаемся по сетке (прямо в проводнике) к соседу с именем user.
Естественно, видим две папочки, типа:

shared
приколы.

А теперь - внимание ! Набираем в верхней строке проводника строчку:

\\user\c$

И - о чудо ! Без всякого пароля, без никаких вопросов - получи ПОЛНЫЙ доступ !

Работает на W2K, в том числе при обращении с W2KServer.

Обращение с ХР-юши или с 98-й отсылает далеко... проверить пароли.

Проверено на трех независимых сетках - работает !

Что делать будем ?

Аватар пользователя rgt

geodimetr Пароль надо локальному админу ставить, причем желательно на каждой машине разный, чтобы такого не было, а если и тут и там под локальным админом без пароля или с идентичным паролем лезть на админские шары, то так и будет.

За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.

Дык... стоят ! Есть и логин, и пароль, и у каждого - свой. На вход в систему. Более того, под ними они и сидят. И сам я вхожу под своим именем.

А то, что набравши Administrator, все равно в систему входишь - только локальным юзером, без доступа к ресурсам истинного хозяина - так это по умолчанию так W2K ставится. Ежели без домена.

А об том, что и на имечко Administrator тоже пароль ставить надо - об этом уже мало кто знает, да и ни в одном руководстве по администрированию W2K мне такое предупреждение не встречалось.

У вас прекрасные дети ! Но все, что вы делаете РУКАМИ - никуда, никуда не годится !

В принципе ети шары отключабельны. Нужно записать в параметр AutoShareWks (в каких то разновидностях "серверных" - AutoShareServer) в ветке HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
значение 0 . Тип параметра - dword

Аватар пользователя savely

Уж сорри, писать много и растусовывать все недосуг.
НО !!! С некоторых пор я стал нехорошо относиться к людям, ругающим Билли. Ибо в 90% случаев виноват не Билли...

А кому счас легко...

Аватар пользователя Nahal

savely_s, но вот монополизировать ПО промышленность и иметь весь мир они хотят безпардонно!

прошел школу убивающих улыбок

Аватар пользователя Root

Скажем так: Билли ругаем условно. Ибо даже ребенку ясно какую роль составляет его вклад в разработку ДОС и Вин...
А то что Мокрософт виноват - эт точно !

geodimetr
энто мелочь.
1) легко лечится ключиком реестром (эх.. обогнали меня:()
2) доступ к этим шарам всегда происходит по аккаунту админа. Т.е. обычно надо вводить пароль... А если не просит пароля, то это уже странно shock

Аццкий ромбовод {:€
Я пока не волшебник - я только учусь! :-P

Аватар пользователя max3

можне еше в компутер манаджмент все зашаренные ресурсы ликвидироват через : "server" service-disabled (ntfs )
тогда точно никакими shares даже пахнут не будет,
другое дело надо проверитса если етот сервис нужен кому нид еше помимо шар,особенно если комп в сети.

а еше можно : NetBIOS--->UnBind, толйко опят же некоторые рутеры настроены так что как толко унбаинд сделаеш комп теряет коннектион с рутером(сеткои).

Аватар пользователя Root

Прям ФАК по настройке получается...
Еще рекомендую попробовать ключик
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous = dword:0x1
это отключает нулевую сессию НетБИОСа. Результат - шары доступны ТОЛЬКО после ввода пароля.
Отмечу еще:


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon = dword:0x0
убирает возможность выключить систему без логина... Хотя она все равно отключается при нажатии на кнопку "мягкого" выключения (или Power на клаве)...
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName = dword:0x1
догадайтесь сами, что это делает;)
HKLM\System\CurrentControlSet\Services\TcpipParameters\EnableICMPRedirect = dword:0x0
запрет получения сообщения "ICMP Redirect" от маршрутизатора
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
убивает DCOM и заодно всяких Blast'ов-Sasser'ов...

Аццкий ромбовод {:€
Я пока не волшебник - я только учусь! :-P

Аватар пользователя max3

ROOT :

Цитата:
Прям ФАК по настройке получается...

ето вед не плохо на самом деле то, новенйкие во флеим не особо ходят а сторожилам кто етого не знает очен полезно знат будет . wink

А еше кто не знает очен много полезных штук можно накопат в НТФС сыстеме если наити МСЦ фаилз,толко будте бдителны посколку неосторожное изменение НЕкоторых настроек ликвидирует у вас возможност загрузит сыстему ИHичто вам непоможет кроме НЕкоторого софто-УМения...или в форум обратно за советом lol

п.с. мне некоторые "местные студенты-программисты" 50 $ предлагали что бы я им пароли снимал с виндовсов (нтфс) посколку они как раз игралис с МСЦ фаилзами ,таким образом за несколко днеи получалос хорошайа танjга на обед (благо богатых сынков много в универе) 8)

Я тоже к Билли не могу относиться плохо - хотя бы за грандиозность замысла.

Однако, реализация его очень часто напоминает афоризм Черномырдина:

"Хотели - как лучше, а получилось - как всегда !"

А теперь - по поводу Предмета Обсуждения, без приколов, в "нормальных" выражениях.

Win2K (русская) ставится на компьютер с аккаунтом Администратор по умолчанию. Убивать этот аккаунт, по-моему, нельзя.

Далее - мы заводим аккаунт пользователя, обычно присваиваем ему права администратора, даем ему пароль на вход в систему, настраиваем сетку на уровне ресурсов - БЕЗДОМЕННУЮ, заводим права гостя... а иначе никто в этот комп и постучаться не сможет - ни распечатать что-нить на его принтере, ничего...

НО ! Ни в одном руководстве - и нигде в Интернете я не встречал упоминания о том, что на существующий по умолчанию аккаунт Администратор тоже необходимо ставить пароль, причем на каждый компьютер в сети - свой !

Потому что если на него пароля нет или он един - имеем:

Сетка из нескольких компьютеров.
Все зашли под СВОИМИ аккаунтами и паролями.
ЛЮБОЙ из участников этой игры стучится к соседу... и видит только расшаренные ресурсы. Набирает в строке с именем клиента магические \C$ или имя любого другого желаемого НЕРАСШАРЕННОГО диска - и видит его ВЕСЬ, С ПОЛНЫМ ДОСТУПОМ.

Я сначала, когда мне это показали - отреагировал точно как RQT: "Нефиг, мол, расшариваться всем и на полную без паролей !"
Однако, посмотрел картинку в трех НЕЗАВИСИМЫХ конторках... то же самое. Предлагаю прежде, чем давать комментарии - самим попробовать этот финт на своей или знакомой сетке. Волосы зашевелятся.

Уже не упоминаю здесь такого момента, как вход в компьютер с аккаунтом Гость. Тогда мы, естественно, не набираем никакого пароля, не имеем доступа к сети, полностью ограничены в правах... но флэшку воткнуть в этот комп можем. И она нормально опознается. И если запрет гостю на запись не выставлен - уносим на ней все, кроме личных папок Хозяина. Плевали мы на Вашу сетку !

ЗЫ: Я веду здесь речь не о том, как уберечься от такого... ёжику понятно, что - можно, и нетрудно. Но ПОЧЕМУ НИГДЕ О ТАКИХ ВЕСЬМА НЕОЧЕВИДНЫХ ВАРИАНТАХ НЕ СКАЗАНО ?

Их что - никто не заметил ? Или оставили специально ?

У вас прекрасные дети ! Но все, что вы делаете РУКАМИ - никуда, никуда не годится !

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей