inspectr (inspectr) wrote,
inspectr
inspectr

Эти программисты такие программисты

К вопросу о криворукости сотрудников Microsoft. Да и вообще о хитромудром мышлении программистов.
Еще одна история с ithappens.ru
Рассказала тут матушка одну милую историю. Сама она программист, последние лет десять плотно занимается 1С. В последнее время трудится на благо организаций с повышенной секретностью. В их числе — пенсионный фонд. Перед тем, как пустить специалиста поработать с их базой, бухгалтерия, программисты и секретчики фонда неделю бодались на тему, как ограничить этого самого спеца, чтобы он не вызнал их тайн. Потом ещё неделю готовили, настраивали, секретили...

В итоге матушка, придя к ним, получила терминал и сообщение, что можно открыть только одно приложение. Мама крепко задумалась: понадобится и конфигуратор, и 1С в режиме отладки, а это, собственно, два приложения. Тем не менее, по кнопке из конфигуратора 1С распрекрасно запустился. «Окей», — сказала матушка и взялась за ковыряние базы. Через некоторое время понадобился ей Ворд. Ради интереса написала обработку, запускающую Ворд, и он распрекрасно запустился. Ровно так же запустила она и Эксель. После чего подумала: «А чего я стесняюсь, собственно?» — вписала в обработку explorer.exe и получила доступ ко всему серверу и всем компьютерам локальной сети. Посмеялась, полазила по их «тайнам» и вернулась к работе с базой.
_____________________________________________________________________________________________
Матушка - программист. А они все задачи решают методом "почешите правой ногой за левым ухом". Все делается гораздо проще: из любого диалога приложения, работающего в терминальной сессии Windows Server (не проверял только в версии 2008, хотя и там, думаю, те же яйца), предполагающего серфинг по папкам (к примеру, меню сохранения файла на диск или выбор пути к базе в стартовом меню 1С), щелчок правой кнопки мышки на папке вызывает меню операций над объектом. И в нем есть чудесная менюшка "Проводник". Естественно, что при выборе этого пункта запускается проводник! Т.е. тот самый Explorer! И пользователь, якобы ограниченный запуском одной программы, получает полный доступ (в рамках своей учетной записи, конечно) ко всем приложениям и ресурсам терминального сервера! Если же окно сохранения файла в приложении терминальной сессии включает в себя такой великолепный пункт как "все типы файлов" то легко и непринужденно можно запустить желаемое и без использования проводника.
Все дело в том, что ограничения на первоначальный запуск пользовательской программы при логине в терминальную сессию не подразумевает под собой ограничение доступа к остальным ресурсом. Лечится только путем изменения политик доступа к файлам и папкам для конкретных пользователей/групп.
Tags: it, ithappens.ru, маразм, читерство
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments