ВСЕ наши учетные записи компьютеров домена (имя машины $) имеют право "доступа к этому компьютеру из сети" прямо на всех компьютерах. Они также входят в группу ПОЛЬЗОВАТЕЛЕЙ DOMAIN, но НЕ входят в локальные / доменные группы power / admin. Поскольку эти учетные записи могут использоваться конечным пользователем, с помощью «psexec -s -i -d cmd.exe» на рабочем столе локального домена - может ли это использование включить любой вид wmic winrs bitsadmin на других компьютерах домена, которые находятся в сети? Этот cmd позволяет использовать учетную запись, не зная ее пароля, но получая возможность прикасаться к другим машинам в сети. Я могу пересчитать идентификаторы, политики, поделиться ИМЕНАМИ .. в зависимости от установленных разрешений. Мне кажется, что нам нужно удалить это право, чтобы предотвратить использование таких инструментов (особенно winrs wmic bitsadmin) на компьютерах других доменов. W cmds и bitsadmin Я пока не могу работать по сети. У кого-нибудь есть мысли по этому поводу? Да - я немного параноик по этому поводу ... :)
1 ответ
Взяты отсюда:
уязвимость
Пользователи, которые могут подключаться со своего компьютера к сети, могут получать доступ к ресурсам на целевых компьютерах, для которых у них есть разрешение. Например, доступ к этому компьютеру с правами пользователя сети необходим пользователям для подключения к общим принтерам и папкам. Если это право пользователя назначено группе «Все», то любой пользователь может прочитать файлы в этих общих папках. Такая ситуация маловероятна, поскольку группы, созданные при установке по умолчанию Windows Server 2012, Windows Server 2008 R2, Windows 8 и Windows 7, не включают группу «Все». Однако, если компьютер обновляется, и исходный компьютер включает группу «Все» как часть своих определенных пользователей и групп, эта группа перемещается как часть процесса обновления и присутствует на компьютере.
контрмера
Ограничить доступ к этому компьютеру от пользователя сети только тем пользователям и группам, которым требуется доступ к компьютеру. Например, если вы настроите этот параметр политики для групп «Администраторы» и «Пользователи», пользователи, которые входят в домен, могут получать доступ к ресурсам, которые являются общими с серверов в домене, если члены группы «Пользователи домена» включены в локальную группу «Пользователи».