Опытный пользователь windows server
Вопрос
Помогите пожалуйста, необходимо включить всех доменных пользователей в группу опытные пользователи на всех ПК кроме серверов и контроллеров. Как это можно сделать? Знаю, что через GPO можно, а вот как? в инете искал, нашел пару мало монятных инструкций.
контроллер домена на 2003 русский. компы xp, win7 русские и английские
Trust me, i know what i`m doing.
Ответы
Это делается групповыми политиками Restricted Groups. Можете поискать по нашим Форумам TechNet — обсуждалось не раз, см. например
Добавлю только, что если у вас клиентские операционные системы русские и английские, то вам придется настраивать политику Restricted Groups для двух локальных групп — Опытные пользователи и Power Users.
- Помечено в качестве ответа AndricoRus Editor 14 июня 2011 г. 6:18
Все ответы
Это делается групповыми политиками Restricted Groups. Можете поискать по нашим Форумам TechNet — обсуждалось не раз, см. например
Добавлю только, что если у вас клиентские операционные системы русские и английские, то вам придется настраивать политику Restricted Groups для двух локальных групп — Опытные пользователи и Power Users.
- Помечено в качестве ответа AndricoRus Editor 14 июня 2011 г. 6:18
Посмотрите это описание, а точнее картинки
иллюстрирующие два варианта применения политики Restricted Groups (группы с ограниченным доступом). Вы должны настраивать по второму варианту. Создаете политику для группы Domain Users и в свойствах политики указываете в разделе «This group is a member of:» — нажимаете Add.. и с клавиатуры вводите Power Users — нажимаете OK, затем снова Add.. и с клавиатуры вводите Опытные пользователи — щелкаете OK — и снова OK.
Добалю 5 копеек:
1) Power Users — это без 5 минут администратор, а в опытных руках и при удачном стечении обстоятельст оговорку про 5 минут можно убрать: http://blogs.technet.com/b/markrussinovich/archive/2006/05/01/the-power-in-power-users.aspx
2) > «то вам придется настраивать политику Restricted Groups для двух локальных групп — Опытные пользователи и Power Users».
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Очень Опытный Пользователь: повышение привилегий до Админа
Помещение пользователя в группу Power Users (Опытные пользователи) —
стандартный подход системных администраторов во многих организациях. Такая
политика устраняет все неприятности работы человека под простым пользователем,
но в то же время не дает ему администраторских привилегий и возможности что-либо
испортить. Опытные пользователи могут устанавливать некоторые программы,
изменять время, работать с ActiveX компонентами,
настраивать принтеры — делать многое из того, что обычный пользователь не может.
Однако насколько такая система действительно безопасна? Совсем не безопасна, даже сама Microsoft
признает, что Опытный пользователь может без труда получить все привилегии.
Каким образом компания естественно не описывает, но это мы и рассмотрим в данной статье.
Прежде чем перейдем к описанию зададим направления поиска. В отсутствии
прямых уязвимостей (типа переполнения буфера) повышение своего статуса возможно
выполнением произвольного кода в контексте более привилегированного аккаунта.
Такими являются Administrators и Local System, от них в частности запускается
ряд служб. Следовательно, если Опытный пользователь сможет изменить файл,
исполняемый одним из этих аккаунтов, например сконфигурировать его на загрузку
нашей DLL или добавить exe-шник
в автоматический запуск этого аккакнту, то мы получим полный доступ к
компьютеру.
Для начала определим к каким файлам имеет доступ Опытный пользователь. Можно
использовать брутфорс — заходить в каждую директорию и смотреть свои права,
однако это довольно непрактично :). Можно использовать встроенную утилиту cacls, но Security Descriptor Description Language
понимать не просто, а для разбора результатов надо писать скрипт. Соответственно,
для моих нужд была написана утилита
AccessChk —
ей передается имя аккаунта или группы и путь файловой системы, реестра или
сервиса и она выдает, какие эффективные права имеет аккакунт на этот объект. Для
простоты восприятия прога пишет W в случае если
разрешено модифицирование, R — когда чтение.
Вооружившись инструментом начнем исследование Windows XP SP2.
Найдем объекты в системном каталоге:
accesschk –ws “power users” c:\windows
Это покажет нам все файлы и директории на которые мы имеем права записи.
Очевидно, что в большинство директорий мы можем писать, это корневой каталог
Windows, Windows\System32, Windows\Downloaded Program
Files, однако записью в эти директории прав не поднять. Несмотря на то, что
система дает писать в эти директории, права на изменение системных файлов,
содержащихся в них, предоставлены только пользователям Административной группы и Local System. Исключения — файлы шрифтов, логи, файлы
помощи, картинки и клипы, файлы инсталляции, но изменение этих файлов опять же
желанного успеха нам не принесет. Легким бы путем стало изменение драйверов в
Windows\System32\Drivers, но и этого, естественно, Microsoft
не дает.
В списке доступных был обнаружен ряд dll и
exe файлов, так что я стал исследовать их на возможные
уязвимости. Большинство — интерактивные утилиты или программы, доступны для запуска и под
ограниченными правами. Однако интерес вызвало появление в списке удивительного
файла — ntoskrnl.exe:
Да, Опытный пользователь может заменить ядро операционной системы! Правда,
через 5 секунд после модификации система Windows File Protection (WFP) заменит
его на находящийся в бекапе Windows\System32\Dllcache. Прав на запись в этот
каталог уже нет, так что подменить файл там не получится. Но обойти
WFP все-таки можно! Достаточно написать простую
программу которая заменит файл, сбросит модифицированные данные на диск и тут
же перезагрузит систему, не дав WFP заменить его. Я
попробовал и выяснил — данная фишка работает.
Однако это не дает нам ответа на вопрос как же повысить свою должность в
Windows? Ответ прост — можно использовать дизассемблер
для поиска функции проверки привилегий —
SeSinglePrivilegeCheck, пропатчить ее так, что бы она всегда возвращала
True. Это будет означать, что пользователь всегда
имеет те привилегии, о которых запрашивает. Таким образом мы получим права на
загрузку драйверов, получение прав владельца, создание токена, с помощью этих
функция можно легко получить админские права. Стоит отметить, что 64-битная
Windows XP препятствует внесению изменений в ядро при помощи системы
PatchGuard, но к счастью такие системы пока мало распространены.
Замена Ntoksrnl.exe не единственный путь к успеху. Одна из
dll — Schedsvc.dll — так же может быть изменена и она запускается как сервис от имени
Local System. Она нужная для работы шедулера, но ведь
Windows легко может обойтись и без него, не правда ли?
Ну а мы можем заменить dll-ку своей, которая добавляет
нас в группу Администраторов. Конечно, WPF и тут
заменит файл на оригинальный, но как это обойти я уже писал выше.
Итак, два направления уже есть, продолжим наше исследование дальше. Обратим
внимание на директорию Program Files, там такая же ситуация как и в случае
с каталогом Windows — Опытный пользователь может
писать в большинство директорий, однако изменять файлы нельзя, есть несколько
утилит типа Media Player, которые можно запускать.
Но и тут есть файлы, которые запускаются от Local System,
но тем не менее подлежат модификации обычным пользователем — например недавно установленный мной.
Microsoft Windows Defender Beta 2. Заменив его мы получим прямую возможность
записи себя любимого в Админы, тем более что его заменять обратно на оригинал никто не
будет.
Дальше просканируем реестр на потенциальные уязвимости:
accesschk –swk “power users” hklm
Доступ к HKLM\System естественно закрыт, однако открыт, например, HKLM\Software\Microsoft\
Windows\CurrentVersion\Run — это дает нам возможность прописать наш файл в
автозагрузку для всех пользователей, но это не особо хорошо в нашей ситуации,
так как требует захода пользователя с администраторскими привилегиями (если вы
типичный офисный зомби — вызов админа и его заход можно легко симулировать 🙂 ).
Опытный пользователь по умолчанию имеет возможность писать в несистемные ветви
HKLM\Software, однако тут, как и в случае с поиском в Program
Files, надо искать сторонние приложений, которые исполняются с
повышенными привилегиями. В моем случае таких не оказалось.
Ну и остались службы Windows. Программа проверяла
флаги SERVICE_CHANGE_CONFIG и WRITE_DAC — в первом случае пользователь может прописать
свою программу на старт службы, во втором — дать сам себе право
SERVICE_CHANGE_CONFIG. У меня единственной уязвимой службой стала:
Программа
PsService показала под кем исполняется сервис:
Следовательно, Опытный пользователь может изменить путь на собственный,
перезапустить систему и наслаждаться свободой.
Возможны и другие уязвимые службы. По умолчанию Windows
не дает право записи на службы сторонних производителей, однако они сами
могут прописать себе расширенные права, которые позволят нам поднять привилегии.
Например, уязвимость в моей 64-битной Windows XP позволяет расширить свои
полномочия не только Опытному пользователю, но даже и самом простому:
Ну вот, собственно и все. Мы показали как легко Опытному пользователю
получить Администраторские привилегии. Так что не стоит особо доверять такому
методу ограничения прав — решительно настроенному и знающему человеку это легко
обойти.
