(W2K) Afschermen services op domein - Serversoftware en clouddiensten

woensdag 30 januari 2008 11:51

Acties:

Ieder probleem = een uitdaging

Topicstarter

Hier hebben wij een 2000 domein met 2x een 2000 domeincontroller. Hierop zijn een aantal policies actief. Onze medewerkers hebben de service usbsecure draaien om usb sticks af te schermen.
De medewerkers hebben lokale admin rechten op de werkstations ivm overige applicaties.

Mijn vraag is hoe ik de service usbsecure op dusdanige wijze kan beveiligen (wellicht met policies of andere zaken) zodat hun deze service niet kunnen stoppen.
Tot op heden heb ik geen antwoord kunnen vinden op tweakers of google. het afschermen van services.msc is geen optie omdat ze dan via de command-line alsnog de service zouden kunnen stoppen.,

link usb secure: http://www.simplescripts.de/usb-port-security-tool.htm

Iemand toevallig een tip?

Problemen zijn erom opgelost te worden

woensdag 30 januari 2008 12:25

Acties:

KoeKk

Volgensmij is dit wel te doen, bijvoorbeeld de Eventlog service is niet te stoppen, en zo zijn er wel meer kritieke windows services. Ik weet ook dat Symantec Antivirus (De Corporate versie) een aantal services heeft die niet af te sluiten zijn. Ik weet alleen niet hoe ze dat precies doen. Ik hoop dat je hier wat aan hebt

woensdag 30 januari 2008 13:02

Acties:

Brahiewahiewa

boelkloedig

kendekeizer schreef op woensdag 30 januari 2008 @ 11:51:
...De medewerkers hebben lokale admin rechten op de werkstations ivm overige applicaties...

En daar gaat het dus mis; dat moet je aanpakken en niet aan symptoombestrijding gaan doen door er wat obscurity overheen te leggen. Als systeembeheerder heb je gewoon de plicht om voor die "overige applicaties" uit te vogelen welke rechten er precies gezet moeten worden om ze als non-admin te kunnen draaien.

QnJhaGlld2FoaWV3YQ==

woensdag 30 januari 2008 14:15

Acties:

Verwijderd

Brahiewahiewa schreef op woensdag 30 januari 2008 @ 13:02:
[...]
En daar gaat het dus mis; dat moet je aanpakken en niet aan symptoombestrijding gaan doen door er wat obscurity overheen te leggen. Als systeembeheerder heb je gewoon de plicht om voor die "overige applicaties" uit te vogelen welke rechten er precies gezet moeten worden om ze als non-admin te kunnen draaien.

haha weer lekkere brahiewahiewa post

Lokaal admin op een desktop is echt geen probleem wat mij betreft. Alleen heeft dat wel gevolgen dat men o.a. services kan uitschakelen (en natuurlijk dat men het hele systeem veel makkelijker om zeep kan helpen). Wil je dat niet, dan moet je gaan uitvogelen wat de rechten precies zijn en je gebruikers geen admin rechten meer geven. Symptoombestrijding is in ieder geval niet de oplossing

woensdag 30 januari 2008 15:11

Acties:

Rolfie

Je kan via een GPO de rechten ontnemen om bepaalde services te stoppen / starten. Dit werkt redelijk goed.

donderdag 31 januari 2008 16:08

Acties:

rdoorn

@Rolfie: kun je ons ook verblijden met een meer specifieke oplossing. Dat het kan is leuk maar vertellen hoe levert nog veel meer blije gezichten op.

[ Voor 4% gewijzigd door rdoorn op 31-01-2008 16:09 ]

Ronald van Doorn

donderdag 31 januari 2008 20:19

Acties:

Saab

Via de group policy editor dan dus, en dan bijvoorbeeld windows settings, security, system settings, system services(ja daar staan ook speciefieke niet windows services tussen als een virusscanner), en dan kun je per service aangeven wie wat mag doen.
Je kunt ook gewoon het hele control panel uitschakelen en je command prompt

Dat kun je best makkelijk vinden hoor...

Ben het met Brahiewaha van harte eens dat op een bedrijfsnetwerk users geen admin zijn. Applicaties die schijnbaar niet zonder willen draaien moet je linea recta het raam uitflikkeren of de ontwikkelaar even iets duidelijk maken

https://www.discogs.com/user/jurgen1973/collection

vrijdag 1 februari 2008 09:39

Acties:

Brahiewahiewa

boelkloedig

Saab schreef op donderdag 31 januari 2008 @ 20:19:
Via de group policy editor dan dus, en dan bijvoorbeeld windows settings, security, system settings, system services(ja daar staan ook speciefieke niet windows services tussen als een virusscanner), en dan kun je per service aangeven wie wat mag doen.
Je kunt ook gewoon het hele control panel uitschakelen en je command prompt

En je moet je dus realiseren dat je gebruikers - omdat ze local admin zijn - die policies net zo hard kunnen terugzetten. 't Is zoiets als een kluis hebben die je niet op slot doet omdat je de code niet kunt onthouden. En omdat zo'n open kluis er wel erg uitnodigend uitziet, hang je er maar een schilderij voor.

QnJhaGlld2FoaWV3YQ==

vrijdag 1 februari 2008 09:48

Acties:

Saab

Zit wat in ja, maar gaan domain policys niet voor local policys dan?

Heb het zelf niet getest, maar mij lijkt dat als je op een service alleen een domain administrator rechten geeft op stoppen dat een local admin dat dan niet kan.

https://www.discogs.com/user/jurgen1973/collection

vrijdag 1 februari 2008 12:59

Acties:

Brahiewahiewa

boelkloedig

Saab schreef op vrijdag 01 februari 2008 @ 09:48:
Zit wat in ja, maar gaan domain policys niet voor local policys dan?

Heb het zelf niet getest, maar mij lijkt dat als je op een service alleen een domain administrator rechten geeft op stoppen dat een local admin dat dan niet kan.

Dat klopt wel, maar de local admin kan zichzelf dat recht wel weer toekennen. En OK dat duurt dan tot de volgende policy refresh, maar een kwartier is genoeg tijd om een service uit te zetten of juist te starten of om 'm op te starten met nieuwe parameters.

QnJhaGlld2FoaWV3YQ==

zaterdag 2 februari 2008 09:41

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op vrijdag 01 februari 2008 @ 12:59:
[...]
Dat klopt wel, maar de local admin kan zichzelf dat recht wel weer toekennen. En OK dat duurt dan tot de volgende policy refresh, maar een kwartier is genoeg tijd om een service uit te zetten of juist te starten of om 'm op te starten met nieuwe parameters.

En als dat niet genoeg is, flikker je als local admin zijnde gewoon de executable weg waar de betreffende service naar verwijst. Knappe service die dan nog kan starten...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 3 februari 2008 18:48

Acties:

Rolfie

Question Mark schreef op zaterdag 02 februari 2008 @ 09:41:
[...]
En als dat niet genoeg is, flikker je als local admin zijnde gewoon de executable weg waar de betreffende service naar verwijst. Knappe service die dan nog kan starten...

Maar via een GPO kan je er ook voor zorgen dat de gebruiker daar niet de NTFS rechten meer heeft.

En ja die kan de gebruiker ook weer "resetten" en dan als nog de .exe file weg halen. Maar als je dat bij mij flikt, en ik kom er echter, dan heb je snel de security officer bij je staan. Immers je bent dan bezig met het hacken van het netwerk.

maandag 4 februari 2008 08:32

Acties:

Brahiewahiewa

boelkloedig

En dan mag jij gaan bewijzen dat de user in kwestie dat gedaan heeft. Als je al te lui bent om het lees- en schrijfgedrag van je applicaties te documenteren, maak je mij niet wijs dat je de auditing wel op orde hebt.

QnJhaGlld2FoaWV3YQ==

dinsdag 5 februari 2008 20:20

Acties:

alt-92

ye olde farte

Leesvoer in kwestie is bijvoorbeeld
http://blogs.technet.com/...cy-as-a-limited-user.aspx
Let wel, hier gaat het al over limited users, kun je nagaan wat een local admin voor uitdagingen heeft.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device