На компьютерах домена пропадают диски в эксплорере
Сервер: Win 2003 Server Standard edition + SP1. Контроллер домена, АД, сервер терминалов. Раб. станции: Win XP Pro (v.2002) + SP2
На компьютерах домена начали пропадать диски в окне "Мой компьютер" и при других обращениях к эксплореру из приложений. То же самое на сервере как при локальном заходе, так и при терминальном. При перезагрузке или заходе другим пользователем диски могут появиться, потом через некоторое время снова пропадают при очередном обращении к эксплореру. Выяснил что процессы winlogon.exe и explorer.exe устанавливают ключ NoDrives со значением 3ffff, а также, видимо, ряд других ключей в этой же ветке: HKCU/software/mirosoft/windows/currentVersion/policies/explorer и в других ветвях реестра. Касперский cсо свежими базами помалкивает, только фиксирует обращения к реестру.
На сервере в директории c:\documents and settings\пользователь\ обнаружены файлы ntuser.pol с сегодняшней датой, где описаны эти устанавливаемые ключи в качестве политики безопасности домена по умолчанию для прописания в разделы software/microsoft/windows/group policy objects/{31b2f340-......} реестра (насколько я могу судить) В папках c:\windows\sysvol\domain\policies\{31b2f340-.....}\user c:\windows\sysvol\sysvol\имя_домена\policies\{31b2 f340-.....}\user имеются файлы registry.pol, где также имеются установки подобных ключей. Дата создания этого файла - 12 апреля 2008. Этой же датой была (кем-то / чем-то) изменена(установлена) групповая политика для терминальных пользователей сервера, запрещающая им обращаться к папке "мои документы" "сетевое окружение" и другим объектам. Это я нашел и исправил оснасткой Group Policy Management. Папкой выше имеются файлы gpt.ini с текстом
[General]
Version=1245202
Зараза распространяется по компьютерам домена.
в аттачах - логи с рабочей станции. С сервера смогу позже прислать(только без запущенного IE)
Прошу помощи.
С уважением,
Юрий.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
То, что вы описываете, больше похоже на изменение групповой политики. Проверяйте с помощью той же оснастки Group Policy Management значения Default domain policy - конфигурация пользователя - административные шаблоны - компоненты Windows - проводник - значения параметра "скрыть выбранные диски из окна "Мой компьютер". Очевидно, что ее меняет кто-то, или что-то.
Уважаемый(ая) yurif, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: