?

Log in

No account? Create an account

Предыдущая запись | Следующая запись

К вопросу о криворукости сотрудников Microsoft. Да и вообще о хитромудром мышлении программистов.
Еще одна история с ithappens.ru
Рассказала тут матушка одну милую историю. Сама она программист, последние лет десять плотно занимается 1С. В последнее время трудится на благо организаций с повышенной секретностью. В их числе — пенсионный фонд. Перед тем, как пустить специалиста поработать с их базой, бухгалтерия, программисты и секретчики фонда неделю бодались на тему, как ограничить этого самого спеца, чтобы он не вызнал их тайн. Потом ещё неделю готовили, настраивали, секретили...

В итоге матушка, придя к ним, получила терминал и сообщение, что можно открыть только одно приложение. Мама крепко задумалась: понадобится и конфигуратор, и 1С в режиме отладки, а это, собственно, два приложения. Тем не менее, по кнопке из конфигуратора 1С распрекрасно запустился. «Окей», — сказала матушка и взялась за ковыряние базы. Через некоторое время понадобился ей Ворд. Ради интереса написала обработку, запускающую Ворд, и он распрекрасно запустился. Ровно так же запустила она и Эксель. После чего подумала: «А чего я стесняюсь, собственно?» — вписала в обработку explorer.exe и получила доступ ко всему серверу и всем компьютерам локальной сети. Посмеялась, полазила по их «тайнам» и вернулась к работе с базой.
_____________________________________________________________________________________________
Матушка - программист. А они все задачи решают методом "почешите правой ногой за левым ухом". Все делается гораздо проще: из любого диалога приложения, работающего в терминальной сессии Windows Server (не проверял только в версии 2008, хотя и там, думаю, те же яйца), предполагающего серфинг по папкам (к примеру, меню сохранения файла на диск или выбор пути к базе в стартовом меню 1С), щелчок правой кнопки мышки на папке вызывает меню операций над объектом. И в нем есть чудесная менюшка "Проводник". Естественно, что при выборе этого пункта запускается проводник! Т.е. тот самый Explorer! И пользователь, якобы ограниченный запуском одной программы, получает полный доступ (в рамках своей учетной записи, конечно) ко всем приложениям и ресурсам терминального сервера! Если же окно сохранения файла в приложении терминальной сессии включает в себя такой великолепный пункт как "все типы файлов" то легко и непринужденно можно запустить желаемое и без использования проводника.
Все дело в том, что ограничения на первоначальный запуск пользовательской программы при логине в терминальную сессию не подразумевает под собой ограничение доступа к остальным ресурсом. Лечится только путем изменения политик доступа к файлам и папкам для конкретных пользователей/групп.

Profile

вопрос
inspectr
inspectr

Latest Month

February 2011
S M T W T F S
  12345
6789101112
13141516171819
20212223242526
2728     
Powered by LiveJournal.com
Designed by Lilia Ahner