Все вопросы по Shared folders

[Polar_bear]

День добрый всем.
Если тема не сюда - прошу переместить в нужный раздел.
Есть следующая проблема.
Существует сервер W2k, домен.
Существует несколько рабочих станций, которые запускают программы с ресурса на сервере. Все банально.
Необходимо защитить программу и данные, которые используются этими программами от ПЕРЕЗАПИСИ.
То есть, с одной стороны, пользователи должны иметь доступ к информации и иметь права на открытие, изменение и запись данных, с другой стороны, программа переписанная на любой носитель с сервера НЕ ДОЛЖНА запускаться.
В сетях Novell для этого атрибут есть специальный. В Микрософте я не нашел.
Аппаратный ключ не используется, изменения в код программы вносить нельзя, разработчик сторонний и таких методов не применяет.
Стандартные фишки, вроде шифрации папки не проходят - пользователей группа, замедление существенное.
Криптовать руками на время хранения - тоже не проходит - для работы необходимо знать пароль, а расшифрованный файл можно легко переписать.
Подскажите решение, pls, необходимо что-то вроде шифрации файла прозрачной для пользователей, с привязкой или к сетевой структуре, или к локальному железу сервера к чему нибудь.

 

[diSmiSS]

Polar_bear, тебе надо просто определить с чем работают пользователи и с чем работает программа.
Так же хочу заметить что практически любая программа (которая требует установки и хоть какой то регистрации) тупо скопированная из папки на любой носитель не будет запускаться.

Ты хоть напиши что за программа, может кто сталкивался.

 

[Polar_bear]

diSmiSS, спасибо, но сталкивался вряд ли кто. Сама программа сейчас пишется под заказ для нашей конторы. Вопросы защиты ее в стадии разработки не планируются. А задача стоит защитить от коприрования внешними методами.

Вопрос изначально я задавал в другом форуме, поскольку он скорее абстрактен и касается способов защиты не _конкретной_ программы, а способов защиты вообще, хотя и в рамках платформы продуктов Microsoft.

Понятно, что есть ключи реестра, которые тупо не скопируешь. Их можно скопировать интеллектуально

Интересны решения, которые позволят _привязать_ запускаемый с разделяемого Win2K ресурса модуль (который может быть и ДОС приложением, которое можно просто скопировать) либо к железу сервера, либо к структуре сети.

Я уже упоминал, что, например в рамках файловой системы NoveLL существовал атрибут eXecute_only. Есть что либо подобное в рамках NTFS? Я пока не нашел.
Гуру, АУ, вы где?

 

[Korovka]

Единственное надежное решение - запускать через терминал. Запуск на локальной машине в любом случае подразумевает копирование кода на нее, и перехватить его не очень сложно - хоть через перехват сетевых пакетов, хоть запуском программы с флажком CREATE_SUSPENDED и сдампливанием секций из памяти. Даже если экзешник зашифрован (например, хаспом, установленным на сервере), на локальной машине должны быть доступна функция расшифрования, и хакер, вызывая её, сможет отвязать программу от ключа. Правда, можно во многих местах программы расшифровывать ее данные - тогда хакеру придется найти все такие места в программе и расшифровать их, обратившись к сетевому хаспу. Нечто подобное применяется в файнридере, промте, лингве - отсюда и привычка крякнутых версий подыхать через пару месяцев работы - потому что хакеры пропустили некоторые проверки.

Даже если используется терминал, надо проверить, что пользователь не сможет перегнать программу с компьютера - например, в windows есть такая оригинальная фишка: даже если программа стоит шеллом вместо проводника, из обычного диалога"Открыть файл" можно запустить любую программу. В этом смысле лучше Citrix - в нем можно сделать доступным подключение не к десктопу сервера, а только к окну нужной программы.

ЗЫ: вопросы защиты надо было ставить до разработки.
ЗЗЫ: на нтфс есть флаг ACE "Execute file/Traverse folder". как же ты искал, если его не нашел?

 

[Polar_bear]

Korovka, идея тонкого клиента хороша. Мы к ней постепенно идем От Citrixa у меня самые приятные воспоминания. С Микрософтовским клиентом дела не имел. Действительно, получив окно приложения не слишком искушенному пользователю сложно что-то предпринять. Это возможно будет реализовать где-нибудь через полгода. Пока нет лицензий на терминальные соединения. Получить левые не проблема, но условия жизни не позволяют их использовать.

Совершенно согласен с тем, что процесс защиты правильнее планировать на стадии разработки. Но вопрос стоит именно так, как стоит

По поводу - как смотрел? Ну вот так и смотрел - "Хххх..орошо" Спасибо, что ткнул в нужную сторону.

А вот если еще будут какие-нить мысли по поводу фриварных хаспов буду очень признателен. Если это супротив правил - то в личку можно?

 

[Korovka]

Хасп (ealaddin.com) - это специальная затычка с микросхемой, вставляемая в LPT/USB, которая хранит ключ и/или выполняет криптографическое преобразование. К ней бесплатно дается софт для защиты с ее помощью программ.Сами затычки бесплатно никто не дает. Старые хаспы (до 4) можно взломать и программно эмулировать, новый (HL) - нет
Вообще-то, учитывая, сколько стоит лицензия цитрикса - не дешевле ли было сделать вашу программу со своим тонким клиентом? Теперь, впрочем, уже поздно..

 

[ilya_sp]

Получение доступа к скрытым шарам

Есть сеть из кучи компов. Большинство из них win XP. грузятся с правами администратора и без пароля. А вот доступ к скрытым шарам, типа C$ закрыт ... пароль видите ли нужен.

по подробнее:
\\p2600\c$
окно
логин p2600\гость

Почему гость??? и изменить нельзя.
Паролей для пользователей ни на моем ни на удаленных компах нет и никогда не было. "Пустой" пароль не прокатывает.

Есть какие-то пароли изначально "зашитые" в эту ХРень?
Или туплю я где-то сильно?

Зы. к некоторым компам есть прямой доступ безо всяких ограничений.

 

[Sergio Yoga]

Тема действительно актуальная. Я, например, столкнулся с подобной проблемой при работе с программой "Рекрутер". Т.е. база (*.db) выложена на одном из компов в явном виде и переписать/скопировать ее проблем не составляет. Как ее защитить ? Существуют ли программы, способные выполнять шифрацию/дешифрацию на лету и прозрачные для работы ?
проблема еще состоит в том, что прога эта привязывается к конфигурации компа и файловой системе (сейчас ФАТ32 и переконвертировать в НТФС нет никакой возможности) ...

 

[Dredd2000]

проблема еще состоит в том, что прога эта привязывается к конфигурации компа и файловой системе (сейчас ФАТ32 и переконвертировать в НТФС нет никакой возможности) ...

Я, в свое время, создал тут тему про организацию доступа к сетевым ресурсам (см. в этом разделе). К сожалению, мы пришли к выводу, что кодировать файлы так, как ты хочешь без NTFS не получится... Всегда будут проблемы с безопасностью.

 

[Tormozavrik]

Как отключить административные шары на 2003

Помогите. Есть 2003 и рабочие станции под 2000. Как централизовано отключить у всех административные шары? Чтобы не ходиь на каждуюмашину. Под NT 4.0 Все работаает через pol-файл. Ак как сделать тоже самое на 2003?

 

[_mihey]

ребят , а по базе в e-staff рекрутинг - где ее достать ?
[у нас менеджеры ее , похоже , стерли.]

 

[Sergio Yoga]

ребят , а по базе в e-staff рекрутинг - где ее достать ?
[у нас менеджеры ее , похоже , стерли.]

конкретнее можно: что стерли, что нужно, и т.д. ?

 

[_mihey]

Значит так : Есть программа.
Комп 192.168.0.3 - на ней крутится сервер этой программы
На ней же клиент и еще клиент на компе 192.168.0.1 /
проблема :
1. Они не коннектятся к серваку. Файерволов нет и фильтров пакетов тоже.
2. Функциональность проги посредственная - она не пишет , что демо - версия , но не дает выполнить импорт из Outlook [пишу , что клиент - outlook - iktn нафиг. По pop3/smtp с серваком почты тоже не коннектится ]
и пишет , что база не найдена.

Вообще , ииз функций остался только поиск в системах кандидатов. и еще - какая- то мелочь. Версия - E-staff рекрутер 2.5.1.

Можешь помочь рабочей версией проги ? Пивная благодарность гарантируется.

Весь инет обыскал - везде только Демо - версия , или возможность скачать кряк при вводе какого-то ключевого слова , которое надо найти на прилагающемся порносайте.
Вот.

 

[_mihey]

Помогите. Есть 2003 и рабочие станции под 2000. Как централизовано отключить у всех административные шары? Чтобы не ходиь на каждуюмашину. Под NT 4.0 Все работаает через pol-файл. Ак как сделать тоже самое на 2003?

Для 2k / XP могу дат ключик реестра , пропиши в netlogon как - нить...
Если еще надо - пиши .

 

[myafik]

_mihey, Sergio Yoga, ребят вы поему увлеклись обсуждением программы.... нехорошо... тема то забыли про что? неееехооорооошоо....
Обсуждайте личные вопросы в личке или в аське. Тут шары обсуждались!

 

[Sergio Yoga]

2 myafik Извините, немного разошлись

Подобные сообщения вообще лучше не писать или писать в личку.

 

[DIMENTOR]

Народ, а кто подскажет как добраться до админской шары (а точнее получить полный доступ к винту) не зная админского пароля, наверняка есть какие то утилитки или способы попасть на чужой винт.

 

[_mihey]

Итак :
1. Мяф - зануда. Бееее... Ладна , щас напишу по теме. А тебе тут писать не по теме , чтоб все писали в тему , можно , да ?
_mihey,Это не занудство, а попытка держать форум в порядке.
2. Да , а для раздачи прав доступа в fat32 была утилита для этого - вещь. Ищите в инете. Можно даже в форуме попробовать сначала.

3. Что значит , нет возможности конверсировать в ntfs ? Дело 5-ти минут...
start -> run - > cmd
convert /?
И запускаешь уже как надо...
What's problem ?

 

[_mihey]

ЫЫЫЫ

Народ, а кто подскажет как добраться до админской шары (а точнее получить полный доступ к винту) не зная админского пароля, наверняка есть какие то утилитки или способы попасть на чужой винт.

Эта утилитка или способ называется win2k server -> добавить роль -> контроллер домена.
Админу домена все системные шары в подарок. Если юзеры умнее не окажутся и в реестре не прикроют это дело.
Кстати :
Закрытие дефолтных шар в 2k|XP user manual
Hklm\system\currentcontrolset\services\lanmanServer\parametres
AutoShareWks REG_DWORD 0
- создать такой ключик в реестре . Всего-то. И ресет.

 

[DIMENTOR]

Проблемка в том что стоит win2k3 и он не контроллер домена (пока). Там просто тачка из другово департамента и паролу я от нее не знаю, а доступ к ней у меня должен быть полный, и это все должно происходить незаметно от юзера который на той тачке сидит.