Родились сегодня:
Иевлев А.Ю.
Matvey


Лидеры рейтинга

ID: 226425

Konstantin Shvetski

Модератор

1086

Россия, Северодвинск


ID: 165461

Лангваген Сергей Евгеньевич

Советник

633

Россия, Московская обл.


ID: 401284

Михаил Александров

Академик

508

Россия, Санкт-Петербург


ID: 398750

Елена Васильевна

Специалист

397

Беларусь, Гомель


ID: 137394

Megaloman

Мастер-Эксперт

196

Беларусь, Гомель


ID: 400669

epimkin

Профессионал

162


ID: 259041

Алексеев Владимир Николаевич

Мастер-Эксперт

108

Россия, пос. Теплоозёрск, ЕАО


8.2.2

25.02.2021

JS: 2.3.0
CSS: 4.3.14
jQuery: 3.5.1


 

Виды защищаемой информации, алгоритмы и программы шифрования данных, советы по защите и безопасности компьютерных сетей, ошибки и «бреши» ПО, способы противодействия взлому ОС.

Администратор раздела: Коцюрбенко Алексей Владимирович (Старший модератор)


Коцюрбенко Алексей Владимирович
Статус: Старший модератор
Рейтинг: 571
Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 234
CradleA
Статус: Академик
Рейтинг: 86
 

Перейти к консультации №:
 

Консультация онлайн # 146299
Раздел: • Защита информации
Автор вопроса: Ihar13
Дата: 07.10.2008, 09:30
Поступило ответов: 2

Здравствуйте, уважаемые эксперты.

Имеется доменная сеть на основе сервера Windows 2003. Подняты контролер домена, DHCP.
Вопрос. Дает ли дополнительное преимущество в сети локальный администратор? Критично ли это для безопастности всей сети? Есть ли возможность у локального администратора добавлять доменных пользователей, менять их пароли?

Если уязвимости все таки есть раскажите как с ними бороться.

Заранее спасибо за ответ. Буду очень благодарен за ссылки, где о моем вопросе можно почитать подробно.

Состояние: Консультация закрыта

Ответ # 231418 от DimanG

Здравствуйте, Ihar13!

Дополнительныек преимущества в сети звание локального администратора не даёт, только лишь в пределах машины, которой оно принадлежит. Однако существует потенциальная опасность изменений в системе (файловой системе и в реестре), которые могут осуществить вредоносные модули, прописав себя на исполнение, например, либо отключив какие-либо службы, ответственные за безопасность. Тогда и до вреда в пределах сети недалеко...
Борьба с уязвимостями, связанными с вредоносными модулями известна - антивирус.

Менять доменные учётные записи локальные администраторы не могут.

Также локальный администратор может осуществить изменеие локальных сетевых настроек и получить какие-либо дополнительные привилегии в сети, если идентификация пользователя осуществляется по IP или МАС адресам, например...


Консультировал: DimanG
Дата отправки: 07.10.2008, 12:05

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Ответ # 231421 от ORWBarmaley

Здравствуйте, Ihar13!

Локальный администратор (локальная учетка, включенная в группу локальных админов) имеем полные права только на этом ПК. Никакого отношения к правам на других ПК и в домене нет. Если в домене права на сетевые ресурсы предоставлены только доменным пользователям, то локальная учетная запись ПК доступа к ресурсам иметь не будет.
Но есть один нюанс - полное совпадение учетной записи и пароля.
Т.е. если учетные записи на двух ПК полностью совпадают, то и права для этих учеток на этих ПК одинаковые. Т.е. если админ на одном, то админ и на другом. Так же и с доменом - если локальная учетная запись на ПК полностью совпадает с доменной учетной записью, то эта локальная учетка будет иметь те же права в домене, что и доменная учетка.
Итого. Если локальная учетная запись ПК (даже не являясь локальным админом на этом ПК) полностью совпадает с доменной учетной записью, имеющей права администратора домена, то локальная учетка так же будет иметь права админа домена.


Консультировал: ORWBarmaley
Дата отправки: 07.10.2008, 12:39

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Мини-форум консультации № 146299
ORWBarmaley

1

= общий = |  07.10.2008, 12:44

Пардон, сразу не заметил неточности.

Фраза Т.е. если учетные записи на двух ПК полностью совпадают, то и права для этих учеток на этих ПК одинаковые. Т.е. если админ на одном, то админ и на другом. верна для встроенной учетки локального администратора. Т.е. если пароли совпадают, то удаленно с одного ПК можно рулить другим.
В общем же случае, права на удаленном ПК такие, какие имеет соответствующая локальная запись на этом ПК.

Что касается дальнейшего ответа о доменных учетках - то всё верно.

Прошу модераторов внести изменения в ответ.

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.