Toon posts:

[Win2k]Domain Security Policy - Policy discussie

Pagina: 1
Acties:

donderdag 4 september 2003 17:11

Acties:
  • Gunner
  • Registratie: Oktober 1999
  • Niet online

Gunner

Invincibles

Topicstarter
Ik ben vanmiddag wat aan het rommelen geweest met Default Policy's binnen Windows 2000 Server. Ik kwam er achter dat de default policy best wel veel toe laat en dat je alles zelf moet dichtspijkeren voordat het een beetje veilig is.

Het volgende zette mij aan het denken; ik kwam er tijdens een installatie achter dat elke willekeurige user die aangemaakt is op mijn domein een werkstation kan toevoegen aan het domein :? (dus zonder Domain Admin rechten what-so-ever)

Dit verbaaste mij ten zeerste, want dat is best wel lek! Dus ik graven in de policy, blijkt dat de groep "Authenticated users" standaard rechten bezit om workstations in een domein te hangen. Dit leek mij echter niet de bedoeling. Dus heb ik gezorgt dat alleen "Domain Admins" dit recht bezitten. (zie illustratie)

Afbeeldingslocatie: http://www.tweakers.net/ext/f/10348/full.jpg

Ben ik de enige die zich dit ooit afgevraagd heeft?

[ Voor 3% gewijzigd door Gunner op 04-09-2003 17:12 ]

Still warm the blood that courses through my veins. | PvOutput | ARSENAL FC

donderdag 4 september 2003 18:49

Acties:
  • L0g0ff
  • Registratie: April 2001
  • Laatst online: 19:23

L0g0ff

omg

Hoezo lek :? Als jij een gebruiker zelf zijn eigen pc wil laten opzetten, dan heb jij geen zin er later weer heen te moeten lopen om zijn pc aan het netwerk te hangen.... Als jij vind dat die gebruiker (het is een authenticated user dus jij vind dat hij op je netwerk mag komen anders moet je hem die rechten dus ook niet geven) op je netwerk mag komen dan zie ik de reden niet dat hij ook zijn eigen pc aan mag melden.

Ff voor de duidelijkheid... als je een geautorizeerde DHCP server heb opgezet dan word iedereen die een ip krijgt toegewezen automatsich in je AD en je DNS gezet.

En so what als dat account in je AD staat :? Wat wil hij/zij kwaad kunnen ? Ze loggen uiteindelijk toch in als een bepaalde user waar JIJ de rechten van hebt bepaald.

Blog.wapnet.nl KompassOS.nl

donderdag 4 september 2003 19:29

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

OhMyGod schreef op 04 September 2003 @ 18:49:
Ff voor de duidelijkheid... als je een geautorizeerde DHCP server heb opgezet dan word iedereen die een ip krijgt toegewezen automatsich in je AD en je DNS gezet.
Er komt een DHCP lease in je DHCP server te staan, en, indien je dynamic dns updates toestaat, komt er een A en PTR record in de DNS server te staan. Dat betekent niet dat een computer gelijk in de AD zit.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 4 september 2003 19:42

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 15:26

Duinkonijn

Huh?

OhMyGod schreef op 04 September 2003 @ 18:49:
Hoezo lek :? Als jij een gebruiker zelf zijn eigen pc wil laten opzetten, dan heb jij geen zin er later weer heen te moeten lopen om zijn pc aan het netwerk te hangen.... Als jij vind dat die gebruiker (het is een authenticated user dus jij vind dat hij op je netwerk mag komen anders moet je hem die rechten dus ook niet geven) op je netwerk mag komen dan zie ik de reden niet dat hij ook zijn eigen pc aan mag melden.

Ff voor de duidelijkheid... als je een geautorizeerde DHCP server heb opgezet dan word iedereen die een ip krijgt toegewezen automatsich in je AD en je DNS gezet.

En so what als dat account in je AD staat :? Wat wil hij/zij kwaad kunnen ? Ze loggen uiteindelijk toch in als een bepaalde user waar JIJ de rechten van hebt bepaald.
Toch niet. ivb met eventuele mogelijkheid tot lekken van informatie...
als je user zo 20 gb aan bedrijfsinformatie kan rippen lijkt me dat niet wenselijk.

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 4 september 2003 20:04

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Halloo... DHCP IP != logon account he...

Er bestaat ook nog zoiets als NTFS ACLs en Policy templates waar je jezelf het leven zuur mee kan maken.
Gunner kwam met het volgende:
Ik kwam er achter dat de default policy best wel veel toe laat en dat je alles zelf moet dichtspijkeren voordat het een beetje veilig is.
Zeker weten dat er geen compatws.inf policy template oid ingeladen was?
Die zet namelijk erg relaxte rechten neer,

Zonder wijzigingen heeft een Domain User geen rechten om een workstation in AD aan te melden.
Kon met NT4 ook al niet.

[ Voor 61% gewijzigd door alt-92 op 04-09-2003 20:10 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 4 september 2003 20:54

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-05 10:25

mutsje

Certified Prutser

default policy mag een normale user geen computer in een domain hangen dit heeft Microsoft allang dichtgetimmerd.... dus TS heeft waarschijnlijk zelf aan de policies lopen sleutelen(burp ik sta stijf van hertog jan :P )

vrijdag 5 september 2003 11:19

Acties:
  • Gunner
  • Registratie: Oktober 1999
  • Niet online

Gunner

Invincibles

Topicstarter
mutsje schreef op 04 September 2003 @ 20:54:
default policy mag een normale user geen computer in een domain hangen dit heeft Microsoft allang dichtgetimmerd.... dus TS heeft waarschijnlijk zelf aan de policies lopen sleutelen(burp ik sta stijf van hertog jan :P )
Helaas mutsje, dit is een standaard installatie van Win2k AS

In dit knowledge base artikel staat het volgende:
Windows 2000 grants the "Add workstations to domain" privilege to the Authenticated Users group by default. When this privilege is enabled, authenticated users can bypass the access control list (ACL) check for up to a predefined maximum value. To prevent misuse, the maximum number of machine accounts any authenticated user can join is 10 by default.

Still warm the blood that courses through my veins. | PvOutput | ARSENAL FC

Pagina: 1
Reageer