Модератор
1086
Советник
633
Академик
508
Специалист
397
Мастер-Эксперт
196
Профессионал
162
Мастер-Эксперт
108
8.2.2
25.02.2021
JS: 2.3.0
CSS: 4.3.14
jQuery: 3.5.1
Виды защищаемой информации, алгоритмы и программы шифрования данных, советы по защите и безопасности компьютерных сетей, ошибки и «бреши» ПО, способы противодействия взлому ОС.
Администратор раздела: Коцюрбенко Алексей Владимирович (Старший модератор)
|
|
Перейти к консультации №: |
|
Здравствуйте, уважаемые эксперты.
Имеется доменная сеть на основе сервера Windows 2003. Подняты контролер домена, DHCP.
Вопрос. Дает ли дополнительное преимущество в сети локальный администратор? Критично ли это для безопастности всей сети? Есть ли возможность у локального администратора добавлять доменных пользователей, менять их пароли?
Если уязвимости все таки есть раскажите как с ними бороться.
Заранее спасибо за ответ. Буду очень благодарен за ссылки, где о моем вопросе можно почитать подробно.
Состояние: Консультация закрыта
Здравствуйте, Ihar13!
Дополнительныек преимущества в сети звание локального администратора не даёт, только лишь в пределах машины, которой оно принадлежит. Однако существует потенциальная опасность изменений в системе (файловой системе и в реестре), которые могут осуществить вредоносные модули, прописав себя на исполнение, например, либо отключив какие-либо службы, ответственные за безопасность. Тогда и до вреда в пределах сети недалеко...
Борьба с уязвимостями, связанными с вредоносными модулями известна - антивирус.
Менять доменные учётные записи локальные администраторы не могут.
Также локальный администратор может осуществить изменеие локальных сетевых настроек и получить какие-либо дополнительные привилегии в сети, если идентификация пользователя осуществляется по IP или МАС адресам, например...
 |
Консультировал: DimanG Дата отправки: 07.10.2008, 12:05 |
Рейтинг ответа:
0 Сообщение модераторам Отправлять сообщения |
Здравствуйте, Ihar13!
Локальный администратор (локальная учетка, включенная в группу локальных админов) имеем полные права только на этом ПК. Никакого отношения к правам на других ПК и в домене нет. Если в домене права на сетевые ресурсы предоставлены только доменным пользователям, то локальная учетная запись ПК доступа к ресурсам иметь не будет.
Но есть один нюанс - полное совпадение учетной записи и пароля.
Т.е. если учетные записи на двух ПК полностью совпадают, то и права для этих учеток на этих ПК одинаковые. Т.е. если админ на одном, то админ и на другом. Так же и с доменом - если локальная учетная запись на ПК полностью совпадает с доменной учетной записью, то эта локальная учетка будет иметь те же права в домене, что и доменная учетка.
Итого. Если локальная учетная запись ПК (даже не являясь локальным админом на этом ПК) полностью совпадает с доменной учетной записью, имеющей права администратора домена, то локальная учетка так же будет иметь права админа домена.
|
|
Консультировал: ORWBarmaley Дата отправки: 07.10.2008, 12:39 |
Рейтинг ответа:
0 Сообщение модераторам Отправлять сообщения |
Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.