Verwijderd schreef op 21 juli 2004 @ 10:23:
[...]
Kijk dat bedoel ik nou. Hier heb ik iets aan. Thx...
Dat zal ik doen.
Maar dan heb ik nog een vraag.
Ik heb ooit gezien dat een collega van me zo kon inbreken bij het bedrijf Xerox op een van hun W2K servers dmv "net use ......" en dan nog wa commando's, gebruik makend van het guest account. Hierna kon hij zo in het register, en users aanmaken ed.
Na contact te hebben gehad met Xerox bleek dat ook zei dachten dat ze het guest account goed dicht gespijkerd hadden, dus niet.
Als ik dit uitvoer, hoe beveiligd ben ik dan?
Idd, het is een server, dus dit hoeft zelfs niet eens (gewoon enabelen, en probeer maar in te loggen als guest. Zie je vanzelf of het werkt.)
Wat betreft de NET USE:
het net commando is net zo goed aan rechten gekoppeld als elk ander commando.
met "net start" en "net stop" kun je idd services starten en stoppen, maar alleen als de gebruiker waarmee je een verbinding maakt dat mag.
de Guest User mag default dus echt geen ene mallemoer op een server uqa services. Wel mag een Guest-user connecten naar shares die met standaard rechten zijn aangemaakt (nl: Everyone=read). Policy die ik hanteer is dat die rechten dus per definitie *altijd* worden veranders in minstens "Authenticated users =...", of bijvoorkeur "Domain Users =..."
Als jouw collega met "guest" iets kon doen op een server met gebruikers aanmaken, dan was dat of een bug exploit in 2000 (waar ik me zo 123 nix van kan herinneren) of de rechten van dat Guest account aldaar was ietwat aangepast (wat ik heel bizar en dom zou vinden van het genoemde bedrijf)
Better to have loved and lost then never loved at all... yeah right.
, en ik heb geen AD/DC draaien, hij draait alleen voor het sharen van files) welke ik met het guest account zonder inloggen kan benaderen.
:strip_exif()/u/12651/crop560aebdd0ca40_cropped.gif?f=community)
:strip_exif()/u/54011/monster.gif?f=community)
