Comments 40
тут по моему администраторы напортачили с правами и настройками, система вряд ли виновата
В точности то же самое можно сказать и про баг в Windows98. Обратили внимание — как оно там всё начиналось? Вызвали окно печати и нажали там кнопку «Help». Так вот эта самая кнопка есть только в нестандартных драйверах принтеров — те драйвера, что входят в поставку Windows98 её не содержат (ну во всяком случае с десяток проверенных мною её не содержали). И DrWeb с Касперским не входят в поставку тоже…
В общем бо́льшая часть дыр возникает на стыках…
В общем бо́льшая часть дыр возникает на стыках…
не согласен, в первом случае система должна была вообще запретить запуск приложений (помощи и прочего) без авторизации
Не, ну это явно проблема в архитектуре системы. Администратор не должен закрывать все и вся, чтобы достигнуть своей цели. В системе не должно возникать таких дыр в стандартном ПО, которое идет в комплекте с самой ОС.
Дааа, оказывается до сих пор такие «методы взлома» применябельны)) А я то думал, их время ушло уже, вместе с win98, про которую кстати писали вот недавно тут, еще помню в отрочестве в компьютерных клубах, где был мега-супер-клуб-защищенный-клиент лазили по компу, выходя на explorer через IE->печать->установка принтера xD
UFO just landed and posted this here
Мне кажется, это не столько баг в Windows, сколько архитектурный неждостаток. действительно, в винде есть система «ограничения» прав пользователя путем конфимгурирования оболочки (читай, explorer и еще неск. программ), то есть убирания пунктов из меню «Пуск», запрещения правых кликов на раб. столе и т. д. Кроме как посмешищем, по другому такой уровень «защиты» назвать нельзя, так ка все ограничение происходит на уровне процесса «explorer.exe»или control.exe если речь о панели управления. Соответственно, если пользователю удается каким-либо образом запустить стороннуюю программу, он получат полные права своего пользователя. Ну а для просмотра файлов можно воспользоваться «Total Commander» к примеру)))
почему-то после прочтения про баг в Win98 тоже вспомнилась эта машина =)
Баг? Архитектурный недостаток? Ха! Неумение обращаться с ОС!
И что? Вы запрещаете доступ к explorer.exe? И нафик он убогий мне сдался, у меня Total Commander есть)))) А диалоговое окно сохранения файла по моему из какой-то dl-ки появляется, так что смысл решения непонятен
Ставим запрет на весь диск(и) кроме нужных директорий, программ. Отключаем приводы, usb хранилища.
И вообще странное у Вас сообщение. В стиле «А если бы да кабы...».
И вообще странное у Вас сообщение. В стиле «А если бы да кабы...».
Вы бы еще Инет предложили отключить))) Нафик он тогда нужен, такой комп. Ксати, Total в данном случае можно скачать из инета) Не знаю, правда, может есть политика, запрещающая создание и запуск исполняемых файлов через ИЕ. На этот случай лезем к хакерам за эксплойтами))) Вдруг что поможет.
Еще кстати, можно попробовать воспользоваться ActiveX или Flash плагином в своих целях.
Еще кстати, можно попробовать воспользоваться ActiveX или Flash плагином в своих целях.
Что вы тут меня запутать пытаетесь?? Вы пытаетесь запретить запуск iexplore.exe? А смысл? Может просто отключить комп вообще?)))
Прочитайте исходный топик:
>Урезанность прав пользователя заключается в
> следующем: при залогинивании не запускается
> explorer.exe, запускается только iexplorer с домашней страничкой.
Смотрите сами: если сделать как вы предлагаете, то iexplore вообще не запустится. Толку-то от такого решения. тогда проще запретить пользователю логиниться.
Если у пользователя есть возможность пользоваться iexplore, то лишить его возможности запускать другие программы очень сложно. причина в самой кривости идеи «ограничения» возможностей пользователя на уровне прикладной программы, особенно если программа сложная, состоит из многих компонентов и перекрыть все «лазейки» так просто не получится.
Еще кстати в ввышеописанном примере можно попробовать кликнуть по ссылке вида file:///с:/, при этом iexplore магическим))) образом показывает нам список файлов — вуаля. Специально замечу что процесс explorer при этом *не* запускается, так что ваши смешные попытки поменять права доступа ни к чему не приведут.
Я бы лично предложил отбироать у пользователя вправа на порождение новых процессов сразу после запуска експлорера, и то не факт что поможет
И еще, не надо мне большими красными буквыами предлагать изучить то, о чем я и так имею представление. Тем более что у меня на компьютере все справочные файлы от винды вырезаны))) За ненадобностью
Прочитайте исходный топик:
>Урезанность прав пользователя заключается в
> следующем: при залогинивании не запускается
> explorer.exe, запускается только iexplorer с домашней страничкой.
Смотрите сами: если сделать как вы предлагаете, то iexplore вообще не запустится. Толку-то от такого решения. тогда проще запретить пользователю логиниться.
Если у пользователя есть возможность пользоваться iexplore, то лишить его возможности запускать другие программы очень сложно. причина в самой кривости идеи «ограничения» возможностей пользователя на уровне прикладной программы, особенно если программа сложная, состоит из многих компонентов и перекрыть все «лазейки» так просто не получится.
Еще кстати в ввышеописанном примере можно попробовать кликнуть по ссылке вида file:///с:/, при этом iexplore магическим))) образом показывает нам список файлов — вуаля. Специально замечу что процесс explorer при этом *не* запускается, так что ваши смешные попытки поменять права доступа ни к чему не приведут.
Я бы лично предложил отбироать у пользователя вправа на порождение новых процессов сразу после запуска експлорера, и то не факт что поможет
И еще, не надо мне большими красными буквыами предлагать изучить то, о чем я и так имею представление. Тем более что у меня на компьютере все справочные файлы от винды вырезаны))) За ненадобностью
Вы неправильно поняли.
В примере я запретил исполнять все файлы (исключая каталоги, есть такое правило), затем отключил наследование этого правила для отдельных файлов (сессионные терминала и собственно iexplore) и разрешил их запуск отдельным правилом.
Вы сами запутались, верните справку обратно ;)
В примере я запретил исполнять все файлы (исключая каталоги, есть такое правило), затем отключил наследование этого правила для отдельных файлов (сессионные терминала и собственно iexplore) и разрешил их запуск отдельным правилом.
Вы сами запутались, верните справку обратно ;)
Скринкаст :)
Мда. Видимо фейл( Слабоваты мои познания в винде(( Боюсь, справка не поможет, там наверно такое не описано(((
Осталось только пара вопрсов, сам я их проверить не могу, потому спрашиваю.
1) А почему не открывается диск c:? Вы запретили чтение оглавлнеия директории (в этом случае можно попытаться открыть какую-нить другую) или запретили запуск компоненты, когторая отображает список файлов?
2) А как насчет кликнуть по ссылке на exe файл (то есть скачать и запустить) Можно ли запретить создание файлов с аттрибутом «исполняемый»? Или скачивание exe файлов? Это тоже наверно можно использовтаь для обхода. Если запретить скачивание файлов по маске, тогда могу предложить скачать .txt и переименовать в .exe)
p.s. Знаете, если вы админ, я не завидую тем кто у вас работает)
Осталось только пара вопрсов, сам я их проверить не могу, потому спрашиваю.
1) А почему не открывается диск c:? Вы запретили чтение оглавлнеия директории (в этом случае можно попытаться открыть какую-нить другую) или запретили запуск компоненты, когторая отображает список файлов?
2) А как насчет кликнуть по ссылке на exe файл (то есть скачать и запустить) Можно ли запретить создание файлов с аттрибутом «исполняемый»? Или скачивание exe файлов? Это тоже наверно можно использовтаь для обхода. Если запретить скачивание файлов по маске, тогда могу предложить скачать .txt и переименовать в .exe)
p.s. Знаете, если вы админ, я не завидую тем кто у вас работает)
Запрещается чтение всех каталогов. Потом разрешаются несколько нужных для работы. Также запрещается запуск всех файлов. Разрешаются несколько нужных. И так далее. Это — как раз нормальный подход. Но многие «админы» увидев что можно запретить менюшки больше ни о чём не думают.
Да, тут полностью поддержу. «Взлом» системы и интерфейса — это разные вещи. И автор топика слегка не в том свете преподносит материал, все же тут больше кривость админов, а не самой винды.
PS. Помню в 2000 разрешения на запуск файлов было не по каталогам, а только по именам файлов. Носили в академию игрушки, переименовывали в notepad.exe и по сетке играли :)
PS. Помню в 2000 разрешения на запуск файлов было не по каталогам, а только по именам файлов. Носили в академию игрушки, переименовывали в notepad.exe и по сетке играли :)
Сурово(( Ну хоть по «нескольким» каталогам можно полазить)
Кстати, даже если вы запретите доступ к флешке, CD, дискетам (что плохо((), остается возможность открыть удаленную папку (неподконтрольную Злому Одмину) по SMB и поробовать запустить файл оттуда))) Как идейка (допустим, у нас есть выход в сеть, иначе зачем нам компьютер)?
Варианты с LIveCD и линуксом замаскированным под Винду, так уж и быть, не предлагаю)
Кстати, даже если вы запретите доступ к флешке, CD, дискетам (что плохо((), остается возможность открыть удаленную папку (неподконтрольную Злому Одмину) по SMB и поробовать запустить файл оттуда))) Как идейка (допустим, у нас есть выход в сеть, иначе зачем нам компьютер)?
Варианты с LIveCD и линуксом замаскированным под Винду, так уж и быть, не предлагаю)
Ужас, «LIveCD и линуксом замаскированным под Винду». Зачем? Берем Bart PE и не мучаемся. С завидной регулярностью пользую этот дистр для восстановления файлов.
И все равно, я считаю, что user abilites — это не средство обеспечения безопасности, а скорее средство информирования пользователя (что нельзя делать), не более.
1) При открытии диска, ИЕ порождает новый процесс explorer.exe, который запрещен для данного пользователя.
2) Как вариант, можно запретить исполнять любые «новые» файлы на уровне ФС, или запретить создавать исполняемые файлы на уровне Групповых политик, или скачивать определенные расширения на уровне ГП ИЕ и т. п.
Тем кто у меня работает я тоже не завидую, хоть и не админ %)
2) Как вариант, можно запретить исполнять любые «новые» файлы на уровне ФС, или запретить создавать исполняемые файлы на уровне Групповых политик, или скачивать определенные расширения на уровне ГП ИЕ и т. п.
Тем кто у меня работает я тоже не завидую, хоть и не админ %)
1) Странно, я explorer в процессах не замечал, только iexplore(( Видимо он какое-то сообщение отсылает и закрывается по быстрому.
Более того, проверил файлмоном (лог тута: paste.org.ru/?9nb945), из explorer.exe читаются 12 байтов и все.
2) А вы уверены, что это возможно? Разве в винде есть опция вроде noexec для mount? Ну а запрет на скачивание по расширениям — решается переименованием))
Более того, проверил файлмоном (лог тута: paste.org.ru/?9nb945), из explorer.exe читаются 12 байтов и все.
2) А вы уверены, что это возможно? Разве в винде есть опция вроде noexec для mount? Ну а запрет на скачивание по расширениям — решается переименованием))
А я примерно такое же с фаерфоксом в библиотеке на терминальном компутере вытворял. Хотя терминальный компутер != сервер ))
Кстати, обнаружил в винде еще кое-что, чем наверно тоже можно воспользоваться))) Допустим у вас под руками только блокнот (ну типа для работы)) Программы все злобный админ вроде tmr ^^)) запретил, а хочется почитать башорг))) Знакомая ситуация, наверно.
Итак, внимание! Выбираем Файл-Открыть и в поле Имя файла вводим bash.org.ru/, и через секунду (еслиу вас конечно не какой-нибудь стремный провайдер) получаем в блокнте HTML-код.
Конечно, не особо красиво)) но разобрать можно
Ах да! И никаких рекламных баннеров)))
Итак, внимание! Выбираем Файл-Открыть и в поле Имя файла вводим bash.org.ru/, и через секунду (еслиу вас конечно не какой-нибудь стремный провайдер) получаем в блокнте HTML-код.
Конечно, не особо красиво)) но разобрать можно
Ах да! И никаких рекламных баннеров)))
Сколько интересного скрыто в Блокноте)) Он оказыватся умеет качать файлы с ФТП на жесткий диск, а потом запускать))
в winxp не сработало :(
Я перед тем как написать — проверил сам, WinXP SP2
Вводить надо *http*://bash.org.ru, там парсер скушал http
Вводить надо *http*://bash.org.ru, там парсер скушал http
vic.maxigood.lv/bash.PNG
что я делаю не так?? на ссылке скрин
что я делаю не так?? на ссылке скрин
я так всегда трояненые сайты открываю которые мне от друзей приходят в аськах/контактах или по почте :)
UFO just landed and posted this here
Sign up to leave a comment.
Windows 2003 bug