Forum

Server 2003 Group P...
 
Bildirimler
Hepsini Temizle

Server 2003 Group Policy güvenlik açığı

5 Yazılar
3 Üyeler
0 Reactions
626 Görüntüleme
(@MehmetAliTiRYAKi)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Merhabalar. 100 client li bir network'üm mevcut. Bu network'de bilgisayarlarım domain server lara bağlılar. Yetkileri kısıtlı olarak etki alanında oturum açmaktalar. Yalnız daha önce çözümünü bulup şimdi bir türlü hatırlayamadığım küçük bir yetki problemi yaşamaktayım. Resimlerle anlatsam daha net olacak. Group policy'den bilgisayarların başlat menüsü klasik menü şeklinde ve Sunucu üzerindeki bir klasöre yönlendirilmiştir.  ( Group Policy^de Klasör Yönlendirme ayarından yapılmıştır. )



Yukarıdaki Resimde görülen başlat menüsünde kullanıcılar programların üzerinde çift tıkladığında ;


 


 


yukarıdaki sayfa açılmakta. buradanda 3 defa yukarı simgesine tıklanarak aşağıdaki resimdede görüldüğü gibi etki alanı bilgisayarlarına ulaşılabiliyor.


 


Bu listede paylaşımı olan herhangi bir bilgisayara erişebilmekte. Active Directory'den tüm windows gezgin seçeneklerini kısıtladım. Ama yinede bu işlem engellenemedi. Daha önce bu programlara çift tıklandığında Bilgisayarınızı etkileyen kısıtlamalar sebebiyle işlem iptal edildi diyordu. Ama nasıl yaptığımı hatırlayamadım. Klasör yönlendirmeyi iptal etsem sorun çözülür ama bunuda yapmak istemiyorum. Bu konuda parlak firikleri olan veya sorunumun çözümüne yardımcı olacak arkadaşlardan şimdiden allah razı olsun. Kolay gelsin herkese

 
Gönderildi : 13/03/2012 18:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba Mehmet bey.

Sizin tam olarak yasaklamak istediğiniz bilgisayarların görüntülenmesi mi yoksa bunların içine girilmesi mi ? Sonuç olarak ben

başlat - çalıştır

\\makineismi

şeklinde de bu bilgisayarlara ulaşırım, ancak bu bilgisayarların dosyalarına girmek için yetkilerin doğru yapılandırılması gerekli.

Özetle istediğiniz şey doğru bir şey değil.

Domain ortamında bütün bilgisayarlar birbirlerini görmelidir. Ancak bir bilgisayarı görmeniz ondaki kaynakları kullanma hakkı vermez size, o bilgisayarda ne paylaştırılmış ise onu görürsünüz ki yetkiniz yok ise o dosyalara bile erişemezsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/03/2012 20:41

(@alienli)
Gönderiler: 248
Reputable Member
 

domain ortamında pc'lerin birbirlerini görmesiyle,konu başlığının ilişkisini kuramadım.

bu bir group policy güvenlik açığımıdır.

 
Gönderildi : 14/03/2012 00:17

(@MehmetAliTiRYAKi)
Gönderiler: 3
Active Member
Konu başlatıcı
 


Merhaba Mehmet bey.


Sizin tam olarak yasaklamak istediğiniz bilgisayarların görüntülenmesi mi yoksa bunların içine girilmesi mi ? Sonuç olarak ben


başlat - çalıştır


\\makineismi


şeklinde de bu bilgisayarlara ulaşırım, ancak bu bilgisayarların dosyalarına girmek için yetkilerin doğru yapılandırılması gerekli.


Özetle istediğiniz şey doğru bir şey değil.


Domain ortamında bütün bilgisayarlar birbirlerini görmelidir. Ancak bir bilgisayarı görmeniz ondaki kaynakları kullanma hakkı vermez size, o bilgisayarda ne paylaştırılmış ise onu görürsünüz ki yetkiniz yok ise o dosyalara bile erişemezsiniz.



Tam olarak yasaklamak istediğim şey bilgisayarların görünmesi. Elimi kolumu bağlayan sorun sunucu üzerinde çalıştırmak zorunda olduğum bir programın dosyalarının yazma izni açık şekilde çalışabilmesi.Program tarafına herhangi bir engelleme yada düzenleme yapamamaktayım.Bu nedenle o bilgisayarların listesinin görülebildiği sayfanın açılmasını istemiyorum Bilgisayarlarların başlat-çalıştır menülerine kadar da kısıtlıdır.


 


domain ortamında pc'lerin birbirlerini görmesiyle,konu başlığının ilişkisini kuramadım.


bu bir group policy güvenlik açığımıdır.



ailenli kardeşim. Konuyu ben açtığımdan kendi düşünceme göre; Active Directory Domain Policy'de Windows Gezginini kapatmana rağmen bu yukarıda belirtilen şekilde Windows Gezgini açılabilmekte. Bunuda güvenlik açığı olarak değerlendirdim. Bence böyle sence olmayabilir.


Konu başlığı ile konu arasındaki ilişkiyi değerlendirmekten çok konuma daha yardımcı yada fikirlerinle destek verirsen çok sevinirim kardeşim.


Kolay geLe


 

 
Gönderildi : 14/03/2012 11:06

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Mehmet bey ben aslında uzun uzun yazmıştım ama sanırım okumadınız.

Network içerisindeki makinelerin görüntülenmesinin ne gibi bir sakıncası olduğunu hala anlamadım ama bu konuyu dikkate almadığınıza göre sizde pek o kısmı ile ilgilenmiyor bana sonucu verin diyorsunuz 🙂

şimdi burada iki detay bulunmaktadır.

1 - Siz My Network Place yani link olan bu kısa yolu kaldırabilirsiniz, ancak bu çözüm olmayacaktır, gerek yukarıda bahsettiğiniz şekilde gerekse yine explorer içerisine bu adresi yazarak yine bu listeye ulaşabilirler.

Yani bu ilk yöntem sizin işinizi görmeyecektir, sadece acemi kullanıcılar için işe yarar bir durum

Nasıl yapılır ? Aşağıdaki gibi

Hive: HKEY_CURRENT_USER
Key:Software\Microsoft\Windows\CurrentVersion\Policies\Network
Name:NoEntireNetwork
Type: REG_DWORD
Value: 1

2 - Gerçekten bilgisayarların birbirini görmesini istemiyor ancak dosya ve yazıcı paylaşımı devam etsin istiyorsanız bu durumda computer browser servislerini kapatmanız gerekmektedir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/03/2012 12:07

Paylaş: