Все вопросы по Shared folders

P

Polar_bear

День добрый всем.
Если тема не сюда - прошу переместить в нужный раздел.
Есть следующая проблема.
Существует сервер W2k, домен.
Существует несколько рабочих станций, которые запускают программы с ресурса на сервере. Все банально.
Необходимо защитить программу и данные, которые используются этими программами от ПЕРЕЗАПИСИ.
То есть, с одной стороны, пользователи должны иметь доступ к информации и иметь права на открытие, изменение и запись данных, с другой стороны, программа переписанная на любой носитель с сервера НЕ ДОЛЖНА запускаться.
В сетях Novell для этого атрибут есть специальный. В Микрософте я не нашел.
Аппаратный ключ не используется, изменения в код программы вносить нельзя, разработчик сторонний и таких методов не применяет.
Стандартные фишки, вроде шифрации папки не проходят - пользователей группа, замедление существенное.
Криптовать руками на время хранения - тоже не проходит - для работы необходимо знать пароль, а расшифрованный файл можно легко переписать.
Подскажите решение, pls, необходимо что-то вроде шифрации файла прозрачной для пользователей, с привязкой или к сетевой структуре, или к локальному железу сервера к чему нибудь.
 
D

diSmiSS

Polar_bear, тебе надо просто определить с чем работают пользователи и с чем работает программа.
Так же хочу заметить что практически любая программа (которая требует установки и хоть какой то регистрации) тупо скопированная из папки на любой носитель не будет запускаться.

Ты хоть напиши что за программа, может кто сталкивался.
 
P

Polar_bear

diSmiSS, спасибо, но сталкивался вряд ли кто. Сама программа сейчас пишется под заказ для нашей конторы. Вопросы защиты ее в стадии разработки не планируются. А задача стоит защитить от коприрования внешними методами.

Вопрос изначально я задавал в другом форуме, поскольку он скорее абстрактен и касается способов защиты не _конкретной_ программы, а способов защиты вообще, хотя и в рамках платформы продуктов Microsoft.

Понятно, что есть ключи реестра, которые тупо не скопируешь. Их можно скопировать интеллектуально :)

Интересны решения, которые позволят _привязать_ запускаемый с разделяемого Win2K ресурса модуль (который может быть и ДОС приложением, которое можно просто скопировать) либо к железу сервера, либо к структуре сети.

Я уже упоминал, что, например в рамках файловой системы NoveLL существовал атрибут eXecute_only. Есть что либо подобное в рамках NTFS? Я пока не нашел.
Гуру, АУ, вы где?
 

Korovka

Турист
Регистрация
17 Май 2004
Сообщения
78
Реакции
2
Credits
156
Единственное надежное решение - запускать через терминал. Запуск на локальной машине в любом случае подразумевает копирование кода на нее, и перехватить его не очень сложно - хоть через перехват сетевых пакетов, хоть запуском программы с флажком CREATE_SUSPENDED и сдампливанием секций из памяти. Даже если экзешник зашифрован (например, хаспом, установленным на сервере), на локальной машине должны быть доступна функция расшифрования, и хакер, вызывая её, сможет отвязать программу от ключа. Правда, можно во многих местах программы расшифровывать ее данные - тогда хакеру придется найти все такие места в программе и расшифровать их, обратившись к сетевому хаспу. Нечто подобное применяется в файнридере, промте, лингве - отсюда и привычка крякнутых версий подыхать через пару месяцев работы - потому что хакеры пропустили некоторые проверки.

Даже если используется терминал, надо проверить, что пользователь не сможет перегнать программу с компьютера - например, в windows есть такая оригинальная фишка: даже если программа стоит шеллом вместо проводника, из обычного диалога"Открыть файл" можно запустить любую программу. В этом смысле лучше Citrix - в нем можно сделать доступным подключение не к десктопу сервера, а только к окну нужной программы.

ЗЫ: вопросы защиты надо было ставить до разработки.
ЗЗЫ: на нтфс есть флаг ACE "Execute file/Traverse folder". как же ты искал, если его не нашел?
 
Последнее редактирование модератором:
P

Polar_bear

Korovka, идея тонкого клиента хороша. Мы к ней постепенно идем :) От Citrixa у меня самые приятные воспоминания. С Микрософтовским клиентом дела не имел. Действительно, получив окно приложения не слишком искушенному пользователю сложно что-то предпринять. Это возможно будет реализовать где-нибудь через полгода. Пока нет лицензий на терминальные соединения. Получить левые не проблема, но условия жизни не позволяют их использовать.

Совершенно согласен с тем, что процесс защиты правильнее планировать на стадии разработки. Но вопрос стоит именно так, как стоит :)

По поводу - как смотрел? Ну вот так и смотрел - "Хххх..орошо" :) Спасибо, что ткнул в нужную сторону.

А вот если еще будут какие-нить мысли по поводу фриварных хаспов буду очень признателен. Если это супротив правил - то в личку можно?
 

Korovka

Турист
Регистрация
17 Май 2004
Сообщения
78
Реакции
2
Credits
156
Хасп (ealaddin.com) - это специальная затычка с микросхемой, вставляемая в LPT/USB, которая хранит ключ и/или выполняет криптографическое преобразование. К ней бесплатно дается софт для защиты с ее помощью программ.Сами затычки бесплатно никто не дает. Старые хаспы (до 4) можно взломать и программно эмулировать, новый (HL) - нет
Вообще-то, учитывая, сколько стоит лицензия цитрикса - не дешевле ли было сделать вашу программу со своим тонким клиентом? Теперь, впрочем, уже поздно..
 

ilya_sp

Местный
Регистрация
5 Ноя 2004
Сообщения
212
Реакции
7
Credits
0
Получение доступа к скрытым шарам

Есть сеть из кучи компов. Большинство из них win XP. грузятся с правами администратора и без пароля. А вот доступ к скрытым шарам, типа C$ закрыт :(... пароль видите ли нужен.

по подробнее:
\\p2600\c$
окно
логин p2600\гость

Почему гость??? :confused: и изменить нельзя. :(
Паролей для пользователей ни на моем ни на удаленных компах нет и никогда не было. "Пустой" пароль не прокатывает.

Есть какие-то пароли изначально "зашитые" в эту ХРень?
Или туплю я где-то сильно?

Зы. к некоторым компам есть прямой доступ безо всяких ограничений.
 
Последнее редактирование модератором:
S

Sergio Yoga

Тема действительно актуальная. Я, например, столкнулся с подобной проблемой при работе с программой "Рекрутер". Т.е. база (*.db) выложена на одном из компов в явном виде и переписать/скопировать ее проблем не составляет. Как ее защитить ? Существуют ли программы, способные выполнять шифрацию/дешифрацию на лету и прозрачные для работы ?
проблема еще состоит в том, что прога эта привязывается к конфигурации компа и файловой системе (сейчас ФАТ32 и переконвертировать в НТФС нет никакой возможности) ...
 

Dredd2000

Турист
Регистрация
14 Окт 2004
Сообщения
98
Реакции
2
Credits
154
Sergio Yoga написал(а):
проблема еще состоит в том, что прога эта привязывается к конфигурации компа и файловой системе (сейчас ФАТ32 и переконвертировать в НТФС нет никакой возможности) ...

Я, в свое время, создал тут тему про организацию доступа к сетевым ресурсам (см. в этом разделе). К сожалению, мы пришли к выводу, что кодировать файлы так, как ты хочешь без NTFS не получится... Всегда будут проблемы с безопасностью.
 

Tormozavrik

Турист
Регистрация
9 Дек 2004
Сообщения
2
Реакции
0
Credits
2
Как отключить административные шары на 2003

Помогите. Есть 2003 и рабочие станции под 2000. Как централизовано отключить у всех административные шары? Чтобы не ходиь на каждуюмашину. Под NT 4.0 Все работаает через pol-файл. Ак как сделать тоже самое на 2003?
 

_mihey

Местный
Регистрация
19 Окт 2004
Сообщения
63
Реакции
9
Credits
102
ребят , а по базе в e-staff рекрутинг - где ее достать ?
[у нас менеджеры ее , похоже , стерли.]
 
S

Sergio Yoga

_mihey написал(а):
ребят , а по базе в e-staff рекрутинг - где ее достать ?
[у нас менеджеры ее , похоже , стерли.]

конкретнее можно: что стерли, что нужно, и т.д. ?
 

_mihey

Местный
Регистрация
19 Окт 2004
Сообщения
63
Реакции
9
Credits
102
Значит так : Есть программа.
Комп 192.168.0.3 - на ней крутится сервер этой программы
На ней же клиент и еще клиент на компе 192.168.0.1 /
проблема :
1. Они не коннектятся к серваку. Файерволов нет и фильтров пакетов тоже.
2. Функциональность проги посредственная - она не пишет , что демо - версия , но не дает выполнить импорт из Outlook [пишу , что клиент - outlook - iktn нафиг. По pop3/smtp с серваком почты тоже не коннектится ]
и пишет , что база не найдена.

Вообще , ииз функций остался только поиск в системах кандидатов. и еще - какая- то мелочь. Версия - E-staff рекрутер 2.5.1.

Можешь помочь рабочей версией проги ? Пивная благодарность гарантируется.

Весь инет обыскал - везде только Демо - версия , или возможность скачать кряк при вводе какого-то ключевого слова , которое надо найти на прилагающемся порносайте.
Вот.
 

_mihey

Местный
Регистрация
19 Окт 2004
Сообщения
63
Реакции
9
Credits
102
Tormozavrik написал(а):
Помогите. Есть 2003 и рабочие станции под 2000. Как централизовано отключить у всех административные шары? Чтобы не ходиь на каждуюмашину. Под NT 4.0 Все работаает через pol-файл. Ак как сделать тоже самое на 2003?
Для 2k / XP могу дат ключик реестра , пропиши в netlogon как - нить...
Если еще надо - пиши .
 

myafik

Местный
Регистрация
7 Июн 2004
Сообщения
443
Реакции
28
Credits
0
_mihey, Sergio Yoga, ребят вы поему увлеклись обсуждением программы.... нехорошо... тема то забыли про что? неееехооорооошоо....
Обсуждайте личные вопросы в личке или в аське. Тут шары обсуждались! ;)