none
Принт-сервер на XP RRS feed

  • Вопрос

  • Есть пк с windows xp (в домене) к нему подключено несколько принтеров без сетевых карт, и розшарены.

    Отдел безопасности требует удалить с  группу "Локальные пользователи" два идентификатора безопасности

    "SID: S-1-5-4 Интерактивные"

    "SID: S-1-5-11 Прошедшие проверку"

    https://support.microsoft.com/ru-ru/help/243330/well-known-security-identifiers-in-windows-operating-systems

    Чем ето грозит для печати ?

    И вообще стоит ли ето делать?

    (нигде нету описания какие службы используются в связке с ними?)

    (будет ли туда вообще доступ потом локально?)

    7 августа 2018 г. 13:35

Ответы

  • Если уточнить, то они хотят убрать всех с группы USERS, дабы небыло локального входа на пк.

    Т.е. безопасникам нужно, чтобы у кого попало не было право локального входа на ваш XP-"сервер". И в этом я с ними согласен - по выполняемым функциям это именно сервер, и простым пользователям там делать нечего.

    Только вот задача решается другим способом, без изменения членства в группе Users: через политики. Отредактируйте локальную политику (gpedit.msc) или примените к этому недосерверу специально созданную  групповую политику (или политику, применяемую к серверам, если у вас есть такая), так чтобы в Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\локальные политики\Назначение прав пользователей право "Локальный вход в систему" было только у тех, кому оно действительно нужно (Администраторы, Операторы печати и т.д. - на ваше или безопасников усмотрение).


    Слава России!

    • Помечено в качестве ответа SetPac 9 августа 2018 г. 5:33
    8 августа 2018 г. 8:08

Все ответы

  • Создайте бекап и проверьте - получите 100% результат.

    Вы же знаете что WinXP cнята с поддержки и не имеет защиты от новонайденных угроз?


    The opinion expressed by me is not an official position of Microsoft

    7 августа 2018 г. 15:07
    Модератор

  • Вы же знаете что WinXP cнята с поддержки и не имеет защиты от новонайденных угроз?

    Хорошо бы об этом рассказать "отделу безопасности". И так же у них спросить смысл всего этого "удаления". "доменные пользователи" то останутся.

    7 августа 2018 г. 15:39
    Модератор
  • Хорошо бы об этом рассказать "отделу безопасности". И так же у них спросить смысл всего этого "удаления". "доменные пользователи" то останутся.

    Тут интереснее другое - каким образом чисто технически это можно сделать. Или - что из чего удалить (что такое у вас за группа "Локальные пользователи", кстати)

    Потому как "SID: S-1-5-4 Интерактивные" и "SID: S-1-5-11 Прошедшие проверку" - это псевдогруппы, которые автоматически добавляются в маркер безопасности при выполнении определенных условий: первая - для всех вошедших локально, с консоли, вторая - вообще для всех, кто не использовал анонимный вход.


    Слава России!



    • Изменено M.V.V. _ 7 августа 2018 г. 19:15
    7 августа 2018 г. 19:14
  • я так понял, это группа "Пользователи" (скрин с рабочей группы).

    7 августа 2018 г. 19:50
    Модератор
  • Если уточнить, то они хотят убрать всех с группы USERS, дабы небыло локального входа на пк.

    Предлогают добавить "Domain Users"  в безопасности принтера и удалить всех с "Users"

    (я в домене через GPO ограничил и так доступ локально для данных пк (5 штук))

    "SIDS-1-5-4 Интерактивные" и "SIDS-1-5-11 Прошедшие проверку" они разве только для входа ? Вродеж и в какихто косвеных процессах были ? 

    Немогу найти толком описания, есть куски но как с них картину лепить хз.

    https://docs.microsoft.com/ru-ru/windows/desktop/Services/interactive-services

    Нету желания тестировать, а через 2 месяца под ноль все перенастраивать, и розбиратся что там не работает когда чтото сломается и не будет возможности войти.

    Ленивый админ делает один и раз и правильно, чтоб потом не переделывать.
    • Изменено SetPac 8 августа 2018 г. 5:55
    8 августа 2018 г. 5:55
  • Нету желания тестировать, а через 2 месяца под ноль все перенастраивать, и розбиратся что там не работает когда чтото сломается и не будет возможности войти.

    Ленивый админ делает один и раз и правильно, чтоб потом не переделывать.

    допустим что вам сейчас напишут о том что все будет норм а у вас стоит редкий драйвер принтера который положит систему после удаления псевдогрупп, что потом?

    На моем опыте могу сказать что в большинстве своем нет проблем с удалением указанных псевдогрупп, но временами случаются проблемы невозможности подключиться по рдп или залогиниться, в таком случае через удаленный computer management или групповые политики группы возвращаются на родину и все работает дальше


    The opinion expressed by me is not an official position of Microsoft

    8 августа 2018 г. 6:04
    Модератор
  • я так понял, это группа "Пользователи" (скрин с рабочей группы).

    
    8 августа 2018 г. 6:05
  • Нету желания тестировать, а через 2 месяца под ноль все перенастраивать, и розбиратся что там не работает когда чтото сломается и не будет возможности войти.

    Ленивый админ делает один и раз и правильно, чтоб потом не переделывать.

    допустим что вам сейчас напишут о том что все будет норм а у вас стоит редкий драйвер принтера который положит систему после удаления псевдогрупп, что потом?

    На моем опыте могу сказать что в большинстве своем нет проблем с удалением указанных псевдогрупп, но временами случаются проблемы невозможности подключиться по рдп или залогиниться, в таком случае через удаленный computer management или групповые политики группы возвращаются на родину и все работает дальше


    The opinion expressed by me is not an official position of Microsoft

    Как доказать безопасноти что причина в етом, если поломка чинится разово включив все назад ? (мне везет на зоопарк и поиски в слепую, логи сила но они не всегда полезны, а время не один час исправления костылей)
    8 августа 2018 г. 6:20

  • Как доказать безопасноти что причина в етом, если поломка чинится разово включив все назад ? (мне везет на зоопарк и поиски в слепую, логи сила но они не всегда полезны, а время не один час исправления костылей)

    так и доказывается - не работает > добавляем группы > работает

    вы пишите о том что нет желания тестировать изминения что является хорошей практикой, и при этом жалуетесь что на исследование факапов уходит много времени.

    Вы время тратите в любом случае только в первом варианте планово, а во втором случае в гарячке.

    К слову сказать свести зоопарк к сопровождаемому списку в ваших и безопасности интересах, о чем настоятельно рекомендую задуматься


    The opinion expressed by me is not an official position of Microsoft

    8 августа 2018 г. 6:31
    Модератор
  • Если уточнить, то они хотят убрать всех с группы USERS, дабы небыло локального входа на пк.

    Т.е. безопасникам нужно, чтобы у кого попало не было право локального входа на ваш XP-"сервер". И в этом я с ними согласен - по выполняемым функциям это именно сервер, и простым пользователям там делать нечего.

    Только вот задача решается другим способом, без изменения членства в группе Users: через политики. Отредактируйте локальную политику (gpedit.msc) или примените к этому недосерверу специально созданную  групповую политику (или политику, применяемую к серверам, если у вас есть такая), так чтобы в Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\локальные политики\Назначение прав пользователей право "Локальный вход в систему" было только у тех, кому оно действительно нужно (Администраторы, Операторы печати и т.д. - на ваше или безопасников усмотрение).


    Слава России!

    • Помечено в качестве ответа SetPac 9 августа 2018 г. 5:33
    8 августа 2018 г. 8:08
  • Если уточнить, то они хотят убрать всех с группы USERS, дабы небыло локального входа на пк.

    Т.е. безопасникам нужно, чтобы у кого попало не было право локального входа на ваш XP-"сервер". И в этом я с ними согласен - по выполняемым функциям это именно сервер, и простым пользователям там делать нечего.

    Только вот задача решается другим способом, без изменения членства в группе Users: через политики. Отредактируйте локальную политику (gpedit.msc) или примените к этому недосерверу специально созданную  групповую политику (или политику, применяемую к серверам, если у вас есть такая), так чтобы в Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\локальные политики\Назначение прав пользователей право "Локальный вход в систему" было только у тех, кому оно действительно нужно (Администраторы, Операторы печати и т.д. - на ваше или безопасников усмотрение).


    Слава России!

    Так и сделал, изначально. 
    9 августа 2018 г. 5:34