我有两个Windows服务(一个作为networking服务运行,另一个作为本地系统运行) – 由于某些体系结构原因,这些服务无法在域用户帐户下运行。 在Active Directory(容器)中将会有一个存储,其中的条目将被添加/删除并从中读取。 然而,无论何时我试图添加/删除条目操作失败(以编程方式在.net中 – 请参阅更多详细信息: https : //stackoverflow.com/questions/20943436/service-running-as-network-service-local-system – 不能添加条目到活动 ) 我的理解是,当一个服务运行在本地系统/networking服务帐户计算机识别(域\计算机$)将通过 – 所以只要计算机帐户具有完全访问容器我应该能够执行添加/删除。 由于某种原因,它抱怨权限。 任何想法/build议/选项我可以尝试? 问候。
希望你能帮忙。 我们已经注意到另一个用户的本地机器在我们的机器的事件查看器中创buildlogin条目。 收到的消息是“帐户已成功login”。 下面提供了login尝试的细节(匿名): Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: OURDOMAN\SUSPICIOUSID$ Account Name: SUSPICIOUSID$ Account Domain: OURDOMAIN Logon ID: 0x8276c3c Logon GUID: {ef03e93f-a27b-c304-92ce-3b244723ccc4} Process Information: Process ID: 0x0 Process Name: – Network Information: Workstation Name: Source Network Address: IPAddress1 Source […]
我对这个政策中“人人”群体的存在感到有点困惑。 根据http://technet.microsoft.com/en-us/magazine/dd637754.aspx : Everyone标识所有交互式,networking,拨号和authentication用户都是Everyone组的成员。 这个特殊的身份组给予系统资源的广泛访问。 但是,只有当用户正在通过该方法login时,所有这些构造身份才被授予给用户。 这让我想知道,如果我将“每个人”设置为此策略中的唯一条目,是否意味着只有已经login到计算机的用户才能通过networking访问, 或者是否意味着允许任何拥有有效帐户的人? 同样,如果我把“networking”作为唯一的条目,是不是指所有人或没有人?
钥匙串 教程build议将/usr/bin/keychain –clear到〜/ .bash_profile中,以允许cron作业使用无密码login。 我不确定我是否明白这是如何工作的。 如果正确的话,这个选项会在用户login时清除ssh-agent的caching。但是在典型的keychain设置中,只有一个ssh-agent正在运行。 和cron作业使用相同的ssh-agent,需要无密码地login到其他服务器。 因此,直到刚刚login的用户input密码来解锁密钥,这些cron作业将无法运行?
我正在使用Windows 2012,并已configuration我的IIS应用程序池使用我自己的“ XXXWeb ”帐户。 我的网站正在使用正确的应用程序池(W3WP进程也以“XXXWeb”运行)。 我将“XXXWeb”用户configuration为在Web目录中没有写权限。 令我惊讶的是,我看到用户可以在“XXXWeb”用户没有任何权限的目录中写入日志文件。 我使用Process Monitor进行了检查,发现'WriteFile'操作是以'XXXWeb'特权执行的,并且成功了。 当我尝试写入完全相同的文件时,我login为XXXWeb它失败。 有谁知道什么可能是错的? 我不希望AppPool具有写权限来防止安全问题,当我的IIS由于某种原因被黑客入侵时。
我们正在努力加强安全性,并阻止用户访问我们的邮件服务器,而无需在手机上提供适当的MDM。 像Aqua Mail和CloudMagic这样的程序,似乎他们绕过ActiveSync的设置,并没有显示为手机,但仍拉邮件。 有没有办法find并阻止使用非ActiveSync路由访问交换的特定设备?
我要在KVM VPS上安装Debian Wheezy。 VNC访问控制台已启用,通过连接时嗅探networkingstream量,我看到VNC密码已encryption,但其他所有内容均以纯文本forms发送。 通过在安装过程的早期加载“networking控制台”组件,可以通过SSH远程安装Debian。 configurationnetworking后,会出现一个对话框要求input“远程安装密码” 然后,我可以使用ssh installer@xxxx连接到安装,并通过encryption连接继续安装。 但是,通过VNC连接时必须键入远程安装密码,因此以纯文本forms发送。 嗅探密码的攻击者可能会危及安装。 在这种情况下,避免攻击者危害安装的最佳方法是什么? 在input远程安装密码之前,可以执行一个shell。 但是,安装环境非常有限,所以只有很less的命令可用。 我认为最好的select是限制SSH连接只有我的IP地址,但这似乎不可能。 我想过的另一个select是在input远程安装密码后快速连接到安装,然后从/ etc / shadow中删除“installer”用户,从而避免其他人login,但不确定是否足够安全。 我希望有更多的select我没有想到。
我是一个新的系统pipe理员,已经了解到我需要在单独的分区上有/ tmp和/ home目录,以防止基于硬链接攻击的特权升级的可能性。 不幸的是我的vps主机根本不允许分区! 这样,我剩下两个select… 1)要么放弃主机,2)请专家如果这是一个严重的问题,如果它,那么如果有任何其他方式,我们可以通过这种方式来防止基于硬链接的攻击! 在未来的vpspipe理过程中是否还有不能创build分区的缺点呢? 期待在这个问题上的指导。 谢谢你的帮助。
我正在寻找一种方法,如何以最less的pipe理工作来禁用单个Windows Server 2008 R2pipe理控制台的远程访问。 服务器在域中,域中有大量其他计算机和用户,因此寻找一些本地选项而不是在域级别上更改某些设置。 我可以禁止在服务器A上使用远程服务器pipe理,但是我无法从服务器B访问其服务器pipe理。但是,如果我将在服务器B上打开mmc并添加例如“服务”或“计算机pipe理”pipe理单元,我可以通过这种方式远程访问服务器A. 需要避免用户限制使用mmc和特定的pipe理单元,最好试图find一种方式,而不使用Windows防火墙和阻止这种types的通信。 我深深的相信,可能有一些registry键或本地策略设置,将简单地禁用远程访问mmc类。 显然必须避免任何进一步的第三方工具… 任何人都知道如何做到这一点? 或者至less有一些提示将不胜感激。 谢谢 编辑:使它更清晰一点…我想只禁用远程可能性,例如重新启动服务,并强制pipe理员使用RDPlogin到服务器
我正在使用IIS8 / Windows 2012上的IISADMPWD页面,并且发现远程服务器上的密码更改的pipe理权限不是必需的。 我希望有人能够说明为什么。 正如所料,如果我尝试net user username newpassword我得到拒绝作为一个普通用户(不是本地pipe理员)的访问。 这是我的设置: 在工作组configuration中运行Windows 2012最小GUI的所有服务器。 在每个服务器上使用相同的密码匹配本地用户名。 用户名是源服务器和目标服务器上的普通用户(用户组的成员) 在源服务器上只有其他组成员身份是IIS_IUSRS才能运行托pipeIISADMPWD的应用程序池。 在IISADMPWD页面上,我指定了remote.server\username以及旧密码和新密码。 在achg.asp页面中,这段代码正在完成更改密码的工作: set pUser = GetObject("WinNT://" & domain & "/" & username & ",user") pUser.ChangePassword Request.Form("old"), Request.Form("new") 我的问题是,当我用来运行应用程序池(从而执行VBScript)的帐户是目标服务器上用户组的成员时,密码已更改。 我的印象是,只有本地pipe理员可以更改本地帐户的密码,但这个“testing”似乎是弯曲的规则。 我使用Wireshark跟踪事务,可以看到stream量超过445 / tcp,包括使用运行应用程序池的用户名的SMB2authentication步骤,但其余大部分stream量都是DCERPC,不是真正的人类可读的,至less我。 在查看安全事件日志时,当使用IISADMPWD更改密码时,我看到远程身份validation通信将被logging,而来自用户帐户pipe理的事件ID为4723,但没有别的。 当我运行net user更改密码时,我看到事件ID 4738和4724表示密码更改成功。 任何熟悉Windows内部的人都有任何想法,或者为什么通常的pipe理员需求似乎被忽略了? 我浏览了gpresult / h,并没有对默认安全性或(任何)GPO设置进行任何更改。 ****编辑**** 我做了一些进一步的testing,看起来只有更改密码是允许的。 设置密码仍然给出预期的访问拒绝错误消息。 仅供参考,使用Powershell中的[ADSI]对象进行testing非常简单。 这并不重要,但是我在testing期间运行过ProcMon,基本上所有networkingstream量和registry更改(对于密码的SAM)都是通过以SYSTEM身份运行的服务完成的。 中小型企业似乎正在进行authentication(鉴于我以前的Wireshark捕获),但我没有看到权利validation的任何证据。 是否有任何地方的文件说明或提到能够更改其他用户的密码,如果当前的密码是已知的?