Active Directory: Доступ к сетевому ресурсу как WinXP SYSTEM user
Рассматривание Ваших предположений делает обоих. Используйте основанные на CD/DVD медиа для дампа текущего состояния. Прежде всего, Вы захотите быть способным detemine, как Вы были скомпрометированы. Можно также хотеть попытаться восстановить пользовательские данные не на образах резервной копии. Эй
Затем восстановите систему от последних резервных носителей, которая не загрязнена. Проверьте это с контрольными суммами, если это возможно. С другой стороны, переустановите программное обеспечение с установочного носителя и реконфигурируйте. Реконфигурирование должно быть автоматическим при использовании Марионетки или cfEngine для конфигурирования сервера.
Перезагрузите пользовательские данные и сканирование для корневых компонентов набора. Проверьте, что у Вас нет setuid или setgid программ в каталогах данных.
Определите и закройте метод доступа, используемого для инфицирования системы. Повторная активация этапа времени разрешения сервера для проверки приложений работает как ожидалось. Тщательно монитор для новых попыток заражения.
Это все предполагает, что заражение на корневом уровне. Веб-заражения могут быть сделаны путем изменения кода, выполненного веб-сервером. Разрешение доступа для записи веб-сервера к его коду может сделать это более легко сделанным. Можно все еще хотеть рассматривать этот случай, как будто корневая учетная запись была поставлена под угрозу.
Если корень в одной системе был поставлен под угрозу в одной системе, у Вас может быть больше поставленных под угрозу систем. Тщательно рассмотрите, к каким системам можно получить доступ без пароля от зараженной системы.
ИСПРАВЛЕНО!
Источником проблемы был файловый сервер , который не регистрировался в DC DNS . Похоже, что это явно было сделано кем-то специально - соответствующий параметр сетевого интерфейса был отключен вручную:
(network interface)
-> Properties
-> TCP/IP Protocol
-> Advanced
-> DNS
-> [ ] Register this connection's address in DNS
После проверки указанного выше параметра и ввода ipconfig / registerdns :
- файловый сервер правильно зарегистрирован в DC DNS записи
- Windows XP
СИСТЕМАпользователь начал правильно монтировать проблемный общий ресурс без запроса учетных данных
Различное поведение Windows XP и Windows 7 должно быть связано с некоторыми различиями во внутренней реализации; Я бы предположил, что Kerberos, хотя мои знания о Kerberos пока поверхностны.
Я нахожу это достаточно интересным, чтобы добавить, то же самое происходит, когда я пытаюсь добавить запись CNAME из ie. wpkg.domain.mydomain.com в filesystem.domain.mydomain.com :
В Windows XP работает только последнее имя хоста:
C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
Access denied.
C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]
... в Windows 7 нет ничего против использования CNAME:
C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
[...result OK... ]
C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]
Обратите внимание, что здесь я получил ошибку Доступ запрещен , а не запрос пароля.
В нормальной, ванильной среде ваши действия будут работать. Я не могу повторить то, что ты » снова вижу. Я создал общий ресурс (\\ server \ share), предоставил доступ на чтение для компьютеров домена и удалил все остальные ACE. Работая под psexec -s -i -d cmd , я могу получить доступ к общему ресурсу как с компьютеров XP, так и с компьютеров Win7.
Насколько вы уверены, что компьютер XP является членом Domain Computers ? По умолчанию все новые учетные записи компьютеров являются членами Domain Computers не через атрибут member (или memberOf ), а вместо этого как первичная группа объекта. Хорошо известный RID группы «Компьютеры домена» - 515. Это значение RID проставлено в атрибуте primaryGroupID объекта компьютера.
Можете ли вы взглянуть на атрибуты primaryGroupID и memberOf объекта компьютера и сообщить мне, что присутствует ? В этом отношении, если вы Вам удобно разместить полную версию для компьютеров XP и Win7? В любом случае, простой способ получить информацию - воспользоваться следующей командой: dsquery * -filter "name = COMPUTER_NAME_GOES_HERE" -attr * .
Еще одна попытка - изменить ACL на общей папке. / NTFS, по одному, чтобы разрешить Все , Прошедшие проверку пользователи , Пользователи домена и само имя компьютера. Попробуйте каждый и посмотрите, какой из них работает.
Прошедшие проверку пользователи , Пользователи домена и само имя компьютера. Попробуйте каждый и посмотрите, какой из них работает. Прошедшие проверку пользователи , Пользователи домена и само имя компьютера. Попробуйте каждый и посмотрите, какой из них работает.