RFpro.ru

регистрация

Лидеры рейтинга

ID: 226425

Konstantin Shvetski

Мастер-Эксперт

942

Россия, Северодвинск

ID: 259041

Алексеев Владимир Николаевич

Мастер-Эксперт

513

Россия, пос. Теплоозёрск, ЕАО

ID: 401284

Михаил Александров

Академик

354

Россия, Санкт-Петербург

ID: 137394

Megaloman

Мастер-Эксперт

312

Беларусь, Гомель

ID: 400669

epimkin

Профессионал

191

ID: 400484

solowey

Профессор

71

ID: 401888

puporev

Профессор

53

Россия, Пермский край

8.1.6

02.01.2021

JS: 2.2.2
CSS: 4.2.0
jQuery: 3.5.1

 

• Защита информации

Виды защищаемой информации, алгоритмы и программы шифрования данных, советы по защите и безопасности компьютерных сетей, ошибки и «бреши» ПО, способы противодействия взлому ОС.

Администратор раздела: Коцюрбенко Алексей Владимирович (Старший модератор)

Коцюрбенко Алексей Владимирович
Статус: Старший модератор
Рейтинг: 2100
Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 270
Лысков Игорь Витальевич
Статус: Мастер-Эксперт
Рейтинг: 0
Ваша подписка: необходимо войти в систему
 

 Перейти к консультации №:
 
Консультация онлайн # 146299
Раздел: • Защита информации
Автор вопроса: Ihar13
Дата: 07.10.2008, 09:30
Поступило ответов: 2

Здравствуйте, уважаемые эксперты.

Имеется доменная сеть на основе сервера Windows 2003. Подняты контролер домена, DHCP.
Вопрос. Дает ли дополнительное преимущество в сети локальный администратор? Критично ли это для безопастности всей сети? Есть ли возможность у локального администратора добавлять доменных пользователей, менять их пароли?

Если уязвимости все таки есть раскажите как с ними бороться.

Заранее спасибо за ответ. Буду очень благодарен за ссылки, где о моем вопросе можно почитать подробно.

Состояние: Консультация закрыта

наверх
Ответ # 231418 от DimanG

Здравствуйте, Ihar13!

Дополнительныек преимущества в сети звание локального администратора не даёт, только лишь в пределах машины, которой оно принадлежит. Однако существует потенциальная опасность изменений в системе (файловой системе и в реестре), которые могут осуществить вредоносные модули, прописав себя на исполнение, например, либо отключив какие-либо службы, ответственные за безопасность. Тогда и до вреда в пределах сети недалеко...
Борьба с уязвимостями, связанными с вредоносными модулями известна - антивирус.

Менять доменные учётные записи локальные администраторы не могут.

Также локальный администратор может осуществить изменеие локальных сетевых настроек и получить какие-либо дополнительные привилегии в сети, если идентификация пользователя осуществляется по IP или МАС адресам, например...

Консультировал: DimanG
Дата отправки: 07.10.2008, 12:05

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

наверх
Ответ # 231421 от ORWBarmaley

Здравствуйте, Ihar13!

Локальный администратор (локальная учетка, включенная в группу локальных админов) имеем полные права только на этом ПК. Никакого отношения к правам на других ПК и в домене нет. Если в домене права на сетевые ресурсы предоставлены только доменным пользователям, то локальная учетная запись ПК доступа к ресурсам иметь не будет.
Но есть один нюанс - полное совпадение учетной записи и пароля.
Т.е. если учетные записи на двух ПК полностью совпадают, то и права для этих учеток на этих ПК одинаковые. Т.е. если админ на одном, то админ и на другом. Так же и с доменом - если локальная учетная запись на ПК полностью совпадает с доменной учетной записью, то эта локальная учетка будет иметь те же права в домене, что и доменная учетка.
Итого. Если локальная учетная запись ПК (даже не являясь локальным админом на этом ПК) полностью совпадает с доменной учетной записью, имеющей права администратора домена, то локальная учетка так же будет иметь права админа домена.

Консультировал: ORWBarmaley
Дата отправки: 07.10.2008, 12:39

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

наверх
Мини-форум консультации № 146299
ORWBarmaley

1

= общий = |  07.10.2008, 12:44

Пардон, сразу не заметил неточности.

Фраза Т.е. если учетные записи на двух ПК полностью совпадают, то и права для этих учеток на этих ПК одинаковые. Т.е. если админ на одном, то админ и на другом. верна для встроенной учетки локального администратора. Т.е. если пароли совпадают, то удаленно с одного ПК можно рулить другим.
В общем же случае, права на удаленном ПК такие, какие имеет соответствующая локальная запись на этом ПК.

Что касается дальнейшего ответа о доменных учетках - то всё верно.

Прошу модераторов внести изменения в ответ.

наверх

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.