none
怎么禁止域客户端使用命令查询域内信息? RRS feed

  • 问题

  • 比如域客户端使用
    net user /domain 
    net group /domain 
    就可以获取域内相关信息。
    如何禁止?
    2015年11月25日 14:03

答案

  • 首先需要說明的是, 保護域的安全, 不是簡單禁用查詢相關信息就可以的.
    因爲普通域用戶只有有限權限, 即便能夠查詢一些內容, 但都不會對域造成影響.

    因爲 

    net group /domain
    net user /domain

    這個命令是將請求委託給 DC 進行查詢, 所以需要在本地客戶端阻止

    遠程 DC IP
    遠程 DC 的 TCP 端口 139, 445

    的出站訪問.

    但無法限制只這對 

    C:\Windows\system32\net.exe
    C:\Windows\system32\net1.exe

    對所有程序進行限制, 將影響域客戶端同 DC 的聯繫和操作.

    Folding@Home

    2015年11月26日 2:50

全部回复

  • 首先需要說明的是, 保護域的安全, 不是簡單禁用查詢相關信息就可以的.
    因爲普通域用戶只有有限權限, 即便能夠查詢一些內容, 但都不會對域造成影響.

    因爲 

    net group /domain
    net user /domain

    這個命令是將請求委託給 DC 進行查詢, 所以需要在本地客戶端阻止

    遠程 DC IP
    遠程 DC 的 TCP 端口 139, 445

    的出站訪問.

    但無法限制只這對 

    C:\Windows\system32\net.exe
    C:\Windows\system32\net1.exe

    對所有程序進行限制, 將影響域客戶端同 DC 的聯繫和操作.

    Folding@Home

    2015年11月26日 2:50
  • 或者通過 

    dsa.msc 



    dsacls

    在域添加類似如下權限設置

    net group limited_users /add
    net group limited_users tester /add
    dsacls "DC=contoso,DC=local" /d limited_users:gr

    爲了敘述方便, 使用命令進行描述. 此處假設域爲: contoso.local

    注意, 此限制未經充分測試, 不保證不對域有不良影響.


    Folding@Home

    2015年11月26日 3:25