Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Авторизация в домене, при заблокированных 139 и 445 портах
 
Нет возможности провести эксперимент, но интересует ответ на вопрос: пройдет ли авторизация в домене, в случае когда, на клиенте заблокированы 139 и 445 порты? (доменные профили статические).
 
ответ - да
 
Вопрос: А политики будут грузиться?
 
Цитата
H-Vost пишет:
Вопрос: А политики будут грузиться?

конечно. порт ведь заблокирован не на контролере домена
 
Цитата
Dmitry Evteev пишет:
конечно. порт ведь заблокирован не на контролере домена
стоп, стоп, стоп. Исходящие соединения на клиенте предполагается тоже перезапрещать. Это что-то изменит?
 
Цитата
f_s_b_37 пишет:
Цитата
Dmitry Evteev пишет:
конечно. порт ведь заблокирован не на контролере домена
стоп, стоп, стоп. Исходящие соединения на клиенте предполагается тоже перезапрещать. Это что-то изменит?

если исходящие соединения по Netbios/SMB резать, то GPO обновиться не сможет. авторизация в домене проходит с использованием kerberos, потому проблем с авторизацией не будет, если для домена не настроена жесткая групповая политика требований авторизации/аутентификации. а если, что-то такое есть, то можно на клиенте подправить локальную политику и тоже все будет работать...
 
Цитата
если исходящие соединения по Netbios/SMB резать, то GPO обновиться не сможет
спасибо
 
Направление АРМ –> контролер домена

1 RPC endpoint mapper 135/tcp, 135/udp
2 Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
3 NetBIOS datagram service 138/udp
4 NetBIOS session service 139/tcp
7 Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp
8 Lightweight Directory Access Protocol (LDAP) 389/tcp
9 LDAP ping 389/udp
10 LDAP over SSL 636/tcp
11 Global catalog LDAP 3268/tcp
12 Global catalog LDAP over SSL 3269/tcp
13 Kerberos 88/tcp, 88/udp
14 Domain Name Service (DNS) 53/tcp, 53/udp
15 Network Time Protocol 123/tcp, 123/udp
16 icmp
17 Если есть служба Wins 42/tcp, 42/udp

Направление контролер домена  –> АРМ

1. icmp

---------------------------------------------------------------------
Можно порезать, но вполне может, что-то перестанет работать.
1 RPC endpoint mapper 135/tcp, 135/udp
2 Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
3 NetBIOS datagram service 138/udp
4 NetBIOS session service 139/tcp

По большому счету 137, 138, 139 порты в домене особенно и не нужны, их можно зарезать.
Если порезать еще 445 порт и icmp от контролера домена, то не будут распространяться групповые политики.
 
2 kutkh - c ИСА сервера выдрал?)))
Вопросы около темы:
1. DFS при выключенной службе SMB работать не будет?
2. DFS при закрытых портах 139 и 445, но включенной службе SMB, работать не будет?.
3. Много слышал "у нормальных админов SMB отключен" (чистая МС сетка) - они по ФТП все делают?
П.С. И еще вопрос - бился около 2 месяцев (2 года назад) - не осилил ipsec, клиент никак не видел контроллер домена (хотя в доках МС там все вроде заложено, а может сервер не давал, 2003 + XP pro). Кто пробовал, все нормально работает? Это извилины мне гнуть надо?
 
Цитата
H-Vost пишет:
1. DFS при выключенной службе SMB работать не будет?
2. DFS при закрытых портах 139 и 445, но включенной службе SMB, работать не будет?.

нет

Цитата

3. Много слышал "у нормальных админов SMB отключен" (чистая МС сетка) - они по ФТП все делают?

нет. через SMS и иже с ним.

Цитата

П.С. И еще вопрос - бился около 2 месяцев (2 года назад) - не осилил ipsec, клиент никак не видел контроллер домена (хотя в доках МС там все вроде заложено, а может сервер не давал, 2003 + XP pro). Кто пробовал, все нормально работает?

делал такое. все отлично работало.
 
2 Dmitry Evteev. DFS - чисто ярлычки с понтами?
SMS - Майкософт Сервайс Мєнеджмент?
 
Цитата
H-Vost пишет:
c ИСА сервера выдрал?
ISA это proxy-сервер от Микрософта? Я когда это чудо вижу, оно почему-то у людей работает именно в этом качестве, причем прикрыто Cisco ASA, PIX или Checkpoint-ом.

А порты взяты с сайта микрософта. А порезать можно, что угодно и как угодно, только вопрос в том, что потом с этим делать и как поддерживать. Т.к. в случае возникновения каких-то проблем, Вас срузу ткнут лицом в журнал с ошибками и скажут, что это виноваты безопасники они порезали все, что можно.

Для начала читаем здесь
и здесь
 
Цитата
H-Vost пишет:
2 Dmitry Evteev. DFS - чисто ярлычки с понтами?

не понял Вас.

Цитата
H-Vost пишет:
SMS - Майкософт Сервайс Мєнеджмент?

Systems Management Server
http://www.microsoft.com/SMServer/default.mspx

Цитата
kutkh пишет:
ISA это proxy-сервер от Микрософта?

в том числе. ISA - firewall/proxy/vpn
 
Цитата
не понял Вас.
Я предполагал что ДФС - это нечто типа распределенной файловой системы в прямом смысле слова. А на практите оказалось что это фактически "папочка с ярлычками на все ресурсы".
Поправлюсь: "папочка с ярлычками на указанные ресурсы, с возможностью зациклить юзера до потери вменяемости". И плюс с возможностью зациклить админа до потери вменяемости за счет настроек доступов к самой ДФС.
Цитата
Systems Management Server
Я так и думал - вымолвить не получилось)))
Цитата
Т.к. в случае возникновения каких-то проблем, Вас срузу ткнут лицом в журнал с ошибками и скажут, что это виноваты безопасники они порезали все, что можно.
И техподдержка сразу пошлет. Сталкивался.
Изменено: H-Vost - 14.10.2009 16:51:56
 
Цитата
H-Vost пишет:
Я предполагал что ДФС - это нечто типа распределенной файловой системы в прямом смысле слова. А на практите оказалось что это фактически "папочка с ярлычками на все ресурсы".Поправлюсь: "папочка с ярлычками на указанные ресурсы, с возможностью зациклить юзера до потери вменяемости". И плюс с возможностью зациклить админа до потери вменяемости за счет настроек доступов к самой ДФС.

ну да, ну да:)
 
Цитата
kutkh пишет:
ISA это proxy-сервер от Микрософта?
kutkh, это действительно вопрос? :D
Цитата
kutkh пишет:
Я когда это чудо вижу, оно почему-то у людей работает именно в этом качестве, причем прикрыто Cisco ASA, PIX или Checkpoint-ом.
- Ну почему же? :) еще и RADIUS для wi-fi, а про PIX откуда узнал?
- а если серьезно, то не админы выбирают платформы( в большенстве случаев), а потом уже и деваться некуда, кроме как использовать встроенные возможности(а они, надо сказать,  неплохие в прямых руках)

в дополнении ко всем:
если NetBT включен, то клиент соединяется с сервером по 139 и 445 вместе, если нет ответа по 445, то продолжает сессию по 139. Сервер, если 137, 138, 139 закрыты, тоесть NetBT запрещен, слушает по 445 порту.

Цитата
H-Vost пишет:
П.С. И еще вопрос - бился около 2 месяцев (2 года назад) - не осилил ipsec, клиент никак не видел контроллер домена (хотя в доках МС там все вроде заложено, а может сервер не давал, 2003 + XP pro). Кто пробовал, все нормально работает? Это извилины мне гнуть надо?
там главное: правильное делигирование политик, если ты GPO использовал. В простейшем примере: клиенты в отдельном юните (OU)с IPSec политикой - "Client", а DC c политикой "Secure Server", ну и конечно одинаковое криптование и керберос(ну или Certificate authority) для авторизации.
 
Цитата
- а если серьезно, то не админы выбирают платформы(
Вижу такую американку с противовесом (фимидой зовут?): в левой книжка по файрволу - в правой книжка просто...
Куда потянет? Правильно! В  * .
П.С. МС делает вещи только для патентов - заняли, приняли, ок - мы владельцы. По этому и в цене "Админы + Программисты (для доделки)" - тема рядом пробегала.
 
H-Vost, занятно рассписал... :D , но я не соглашусь с "МС делает вещи только для патентов - заняли, приняли, ок - мы владельцы". А чем другие откличаются, ну взять тот же уважаемый Sun microsystem, с его Солярисами, да теже подходы к требованию, только ниша восстребования существенно ниже чем у майкрософт. Весь бизнес делается по одной и той же схеме и исключения нет ни у кого. А насчет линукса я так скажу, исключая серверные продукты, что конечно себя чувствовать с настоящим(пусть и бесплатным)линуксом комфортнее, чем с ломаным-переломаным пиратским виндусом. Тем более и другие плюсы есть...

P.S. модераторы простите за офтопик
 
Цитата
Sun microsystem, с его Солярисами, да теже подходы к требованию, только ниша восстребования существенно ниже чем у майкрософт.
Смотрел... Очень понравился Опен Соларис! Но по обновлениям - ((( . В принципе, возможен вариант - но секс с мозгом гарантирован.
П.С. Мне очень нравится ОпенБСД за чистоту и понятность. Но на ноуте, лучше убунты - не нашел вариантов.
Не думаю что Сан вырвет свое "Я", даже с учетом ухода этого типа с дебиана.
П.С. Сан или Оракл чето больше н(п)издат  чем делают((((((((
 
Цитата
Очень понравился Опен Соларис! Но по обновлениям - ((( . В принципе, возможен вариант - но секс с мозгом гарантирован.
да не совсем, это скорее к убунте применимо, а в случае с солярисом - его в Америке в университетах изучают! если интересно тут хороший ресурс по никсам
Страницы: 1
Читают тему