Защита от Dameware mini control

← →
oxffff © (2007-10-03 12:01) [0]

Собственно интересуют способ запрета на запуск штучки.

Окружение:

Домен, комп в домене + локальные админские права.

Насколько понял почитав про сабж. Используется запуск процесса
на удаленном компе.
Я так понимаю используется WMI.

Остановил и запретил службы:

Расширения драйверов WMI (Windows Management Instrumentation)
Инструментарий управления Windows.

Не помогает. Возможность подключения dameware осталась.

Можно конечно посмотреть таблицу импорта на сабже. И установить импортируемые dll и соотвественно способ передачи серверной части на жертву.

Но может кто знает и так?

← →
oxffff © (2007-10-03 12:07) [1]

> Можно конечно посмотреть таблицу импорта на сабже. И установить
> импортируемые dll и соотвественно способ передачи серверной
> части на жертву.

Имею ввиду установить способ передачи отличный от использования WMI

← →
antonn © (2007-10-03 12:11) [2]

а убивать службы дамваре?

← →
umbra © (2007-10-03 12:18) [3]

еще один вариант запуска - DCOM

← →
oxffff © (2007-10-03 12:19) [4]

> antonn © (03.10.07 12:11) [2]
> а убивать службы дамваре?

Я уже так и сделал
Это помогает. . :)

НО!!!

Меня интересует вообще способ защиты от запуска админами (точнее админскими модными программами) процессов на удаленном компе.

В частности полный запрет WMI. По скольку запрет служб

Расширения драйверов WMI (Windows Management Instrumentation)
Инструментарий управления Windows.

Не помог.

Либо я не до конца отрубил, либо другой способ используется Dameware

← →
oxffff © (2007-10-03 12:23) [5]

> umbra © (03.10.07 12:18) [3]
> еще один вариант запуска - DCOM

Да, но это при условии, что на целевом копьютере зарегистрирован (уже установлен) сервер. А здесь запуск удаленного процесса.

А WMI использует в своей работе как раз COM\DCOM.

← →
Рамиль © (2007-10-03 12:25) [6]

Вообщем случае защиты нет, все что отключено можно включить, это раз. А два - есть меры типа отключения учетной записи компьютера (пользователя), если админу надоест бороться)

← →
oxffff © (2007-10-03 12:25) [7]

> А WMI использует в своей работе как раз COM\DCOM.

Я конечно могу зарубить DCOM, а лучше сразу RPC. :)
Но тогда другое не будет работать. :)

← →
oxffff © (2007-10-03 12:27) [8]

> Рамиль © (03.10.07 12:25) [6]
> Вообщем случае защиты нет, все что отключено можно включить,
> это раз. А два - есть меры типа отключения учетной записи
> компьютера (пользователя), если админу надоест бороться)

Этот вариант не рассматривать.

← →
Slym © (2007-10-03 12:28) [9]

убей из админов всех кроме себя и на встроенного одмина поставь пороль

← →
oxffff © (2007-10-03 12:32) [10]

> Slym © (03.10.07 12:28) [9]
> убей из админов всех кроме себя и на встроенного одмина
> поставь пороль

Групповая политика сделает свое дело. И они (доменные админы) будут снова в действии. так что это поможет только на короткое время. :)

← →
oxffff © (2007-10-03 12:34) [11]

> oxffff © (03.10.07 12:23) [5]
>
> > umbra © (03.10.07 12:18) [3]
> > еще один вариант запуска - DCOM
>
>
> Да, но это при условии, что на целевом копьютере зарегистрирован
> (уже установлен) сервер. А здесь запуск удаленного процесса.
>
>
> А WMI использует в своей работе как раз COM\DCOM.

Dameware не зарегистрирован на компе как COM сервер. :)

← →
Anatoly Podgoretsky © (2007-10-03 12:59) [12]

> oxffff (03.10.2007 12:27:08) [8]

С этого надо начинать.

← →
Anatoly Podgoretsky © (2007-10-03 13:00) [13]

> oxffff (03.10.2007 12:32:10) [10]

Они будут на долгое время, а ты на короткое.
И как это они тебе выдали админские права?
Надо поднять вопрос о неполном служебном соответствии.

← →
oxffff © (2007-10-03 13:05) [14]

> Anatoly Podgoretsky © (03.10.07 13:00) [13]
> > oxffff (03.10.2007 12:32:10) [10]
>
> Они будут на долгое время, а ты на короткое.
> И как это они тебе выдали админские права?
> Надо поднять вопрос о неполном служебном соответствии.

О каком не соответствии речь?

← →
Anatoly Podgoretsky © (2007-10-03 13:12) [15]

> oxffff (03.10.2007 13:05:14) [14]

Администратора, почему он пользователю предоставил административные права.

> Anatoly Podgoretsky © (03.10.07 13:12) [15]
> > oxffff (03.10.2007 13:05:14) [14]
>
> Администратора, почему он пользователю предоставил административные
> права.

Я похож на пользователя? :)

Конечно пользователь, кем еще можешь быть в рамках домена.

> Рамиль © (03.10.07 13:21) [17]
> Конечно пользователь, кем еще можешь быть в рамках домена.
>

Локальным админом. А почему нет?

> Я похож на пользователя? :)

Ну это меняет дело.
Но тогда чего же жалуешься?
А про локального админа - конечно ты тогда являешься пользователем и пытаешься противодействовать доменному админу, саботируя его действия.
Доменному админ должен препринять действия по противодействию саботажу как минимум, исключив тебя из списка локальных админов и послать бумагу в службу безопасности, о наличии хакеров в сети.

> Anatoly Podgoretsky © (03.10.07 13:28) [19]
>
> > Я похож на пользователя? :)
>
> Ну это меняет дело.
> Но тогда чего же жалуешься?
> А про локального админа - конечно ты тогда являешься пользователем
> и пытаешься противодействовать доменному админу, саботируя
> его действия.
> Доменному админ должен препринять действия по противодействию
> саботажу как минимум, исключив тебя из списка локальных
> админов и послать бумагу в службу безопасности, о наличии
> хакеров в сети.

Я хочу просто, чтобы админы не шарились где не надо. Кстати в это продолжении вчерашней темы
http://delphimaster.net/view/15-1191322414/.

Сегодняю прихожу на работу. Работаю. Вдруг какой dameware всплывает.
Какой то ... присоединился и мышкой шевелит.
Ну я тогда ему так строго сказал, может ты конечно и не заметил.
Но тебя заходить не просили и вообще тебе пора валить из России. :)

> Вдруг какой dameware всплывает.
> Какой то ... присоединился и мышкой шевелит.

Накатай телегу руководству, что оборзевшие админы без согласования мешают тебе работать. У меня тоже стоит домовенок, но я не админ, но к пользователю я лажу, но только по его же просьбе. Других решений я не вижу.

← →
имя (2007-10-07 22:25) [22]

Удалено модератором

Защита от Dameware mini control Найти похожие ветки