Вопрос № 50430: Утро доброе! Есть такой вопрос: как простому пользователю домена Win 2003 разрешить пользоваться флешкой (как надо настроить политику безопасности)? (если можно по подробний) Спасибо ...Вопрос № 50445: Windows XP, установлена на локальной машине. Есть несколько учётных записей пользователей. Одна из них с правами администратора. Остальные - простые пользователи.
Однажды оказалось, что администраторская запись была отключена простым пользователе...
Вопрос № 50.430
Утро доброе! Есть такой вопрос: как простому пользователю домена Win 2003 разрешить пользоваться флешкой (как надо настроить политику безопасности)? (если можно по подробний) Спасибо
Отправлен: 28.07.2006, 10:10
Вопрос задал: Vasil (статус: Посетитель)
Всего ответов: 1 Мини-форум вопроса >>> (сообщений: 1)
Отвечает: Габриель
Здравствуйте, Vasil!
И так можно использовать, только если не отключить в политику безопасность, разрешения на установке драйвера, но это срабатывает только если это флешка раньше не использовалась на какой-то машине.
Ответ отправил: Габриель (статус: Студент)
Ответ отправлен: 28.07.2006, 10:30
Вопрос № 50.445
Windows XP, установлена на локальной машине. Есть несколько учётных записей пользователей. Одна из них с правами администратора. Остальные - простые пользователи.
Однажды оказалось, что администраторская запись была отключена простым пользователем, при этом этот пользователь поставил на свою учётную запись права администратора.
Возможно ли такое и кто с этим встречался? Как можно предотвратить подобные действия простых пользователей? Каким образом, не зная пароль администратора и учётной записи с правами администратора сменить права своей учётной записи?
Отвечает: Асташов Андрей Александрович
Здравствуйте, Алексей Владимирович!
Для того, чтоб сменить пароль любого пользователя в системе, достаточно создать загрузочный диск с (пример) WinInternals Soft. И все. Загрузиться. Выбрать соответствующую софтину из пакета и менять наздоровье пароли хоть всех пользователей.
А чтоб предотвратить действия, надо закрыть компьютер в сейф и отключить сеть. А если без смеха, то ограничить доступ посторонних людей к ПК и поставить файрволл, дабы защититься от атак из сети. Но чаще всего такие пакости происходят с консоли.
Удачи.
--------- Бросил курить сам - Брось курить другому!!!
Ответ отправил: Асташов Андрей Александрович (статус: Студент)
Ответ отправлен: 28.07.2006, 13:17 Оценка за ответ: 4
Отвечает: Shapoklak
Здравствуйте, Алексей Владимирович!
Запретите загрузку системы с CD и прочих внешних носителей в BIOS (поставьте только с винчестера), запарольте BIOS.
(добавлю, что он тоже снимается, но средь бела дня, наверное, постесняются это делать, т.к. это слишком заметно.)
Тогда не смогут пользователи использовать программы - ломалки паролей, ковыряющие систему извне и имеющие свои загрузчики - и из AdminPak у них с диска не загрузится, и WinAdminHack не загрузится, равно как и прочее подобное.
А сами можете их использовать для восстановления паролей. Еще и SAMInside такая есть...
Для программ, могущих ворующих пароли из-под системы, рецепт такой - запретите в реестре их использование.
Вообще разрешите в реестре использовать только те программы, которые считаете нужным.
Ну а против всяких умельцев - запретить выполнение bat файлов и скриптов...
Запретить изменение ветки реестра SAM...
Настроить грамотно Групповые политики... образать права...
А этому конкретному засветившемуся пользователю устроить хорошую баню... чтоб зарекся... если на предприятии - административным путем. Если не на предприятии - удалить вообще все его личные файлы и сказать, что он сам что-то напортачил... и периодически это проделывать в целях профилактики... И поставить на особый контроль.
Ответ отправила: Shapoklak (статус: Профессор) Россия, Орск Тел.: (3537)255121 Организация: школа 56 г. Орска Адрес: www.school56orsk.narod.ru WWW:компьютерные фирмы г. Орска ICQ: 101137510 ---- Ответ отправлен: 28.07.2006, 14:59 Оценка за ответ: 5
Отвечает: Taatshi
Здравствуйте, Алексей Владимирович!
Лично я бы сделал это следующим образом: загрузился с диска и с помощью ERD-commander сбросил пароль администратора... Или просто поменял права своей учетки на админские. А дальше - все, что хочешь можно сделать...
Итак, как предотвратить.
1) Отключить в биосе загрузки с любого устройства, кроме хард диска.
2) Админская учетка обязательно должна быть с паролем, который невозможно подобрать.
3) Вход в биос должен быть тоже запаролен обязательно.
4) Обязательно убрать все доступы к командной строке, например, пуск-выполнить, так же не должно быть файловых менеджеров с командной строкой типа тотал коммандера... Запретить выполнение программ от имени администратора.
Ответ отправил: Taatshi (статус: 3-ий класс)
Ответ отправлен: 28.07.2006, 19:42 Оценка за ответ: 5
