Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Net use & Win7

27 views
Skip to first unread message

Asko Ikävalko

unread,
Jan 27, 2011, 10:00:07 AM1/27/11
to
Onko muutkin huomanneet, että XP:ssä NET USE toimii erilailla kuin Vistassa
ja Win7:ssa? Meidän firman työasemat ovat meidän domainissa ja niillä
käytetään erään toisen firman hallinnoiman Mac -palvelimen levyjakoa
tämmöisellä loitsulla:

net use m: \\129.129.129.129\jakokansio S4laK4la
/user:MacinNimi\Kayttajatunnus

XP:ssä tuo on toiminut jo pari vuotta, mutta nyt kun tuli ensimmäiset Win7
työasemat taloon, niin ne eivät pääse enää M-levylle. Testasin Vistallakin,
eikä toimi siinäkään. Googlailtu on puoli päivää ja muillakin on vastaavia
havaintoja, että ilmeisesti Netbios toimii jotenkin erilailla nykyään, mutta
toimivaa korjauskonstia ei löytynyt.

Ei tule edes mitään fiksua kiertokonstiakaan mieleen. Voisihan
Mac-palvelimelle pyytää perustamaan FTP-palvelimen, mutta sen käyttö ei
taida olla käyttäjille yhtä helppoa kuin automaattisesti mäppäytyvän
M-levyn?

-Asko


Pertti Kosunen

unread,
Jan 27, 2011, 10:24:05 AM1/27/11
to
On 27.1.2011 17:00, Asko Ikävalko wrote:
> net use m: \\129.129.129.129\jakokansio S4laK4la
> /user:MacinNimi\Kayttajatunnus

net use m: \\129.129.129.129\jakokansio /user:Kayttajatunnus S4laK4la
net use m: \\129.129.129.129\jakokansio /user:Kayttajatunnus@MacinNimi
S4laK4la

Toimisiko pelkällä käyttäjällä. Jääkö lokeihin mitään virheitä?

Ari Saastamoinen

unread,
Jan 27, 2011, 11:16:28 AM1/27/11
to
Asko Ik�valko <ikaval...@poista.pp.inet.fi.invalid> writes:

> Ei tule edes mit��n fiksua kiertokonstiakaan mieleen. Voisihan
> Mac-palvelimelle pyyt�� perustamaan FTP-palvelimen, mutta sen k�ytt�
> ei taida olla k�ytt�jille yht� helppoa kuin automaattisesti
> m�pp�ytyv�n M-levyn?

Jos et muuta keksi, niin laita DAV-tiedostojako. Windowsi ihan
sis��nrakennettuna sis�lt�� clientin, jolla DAV-jaon voi mountata
windowsin levyksi (Ja tuo kulkee HTTP(S):n p��ll�, joten sit� voi
tarvittaessa jakaa helposti uloskin, jos on tarvetta)

--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje

Sami Setälä

unread,
Jan 27, 2011, 12:00:19 PM1/27/11
to
> Onko muutkin huomanneet, että XP:ssä NET USE toimii erilailla kuin
> Vistassa ja Win7:ssa? Meidän firman työasemat ovat meidän domainissa ja
> niillä käytetään erään toisen firman hallinnoiman Mac -palvelimen
> levyjakoa tämmöisellä loitsulla:

Tuossa lienee kysymys windows-levyjakojen autentikointiin liittyvistä
protokollamuutoksista, ja että allekirjoitetaanko smb-paketit. Samoja
murheita voi tulla, jos win7:lla tai vistalla yrittää liian vanhaan
linux/unix -alustalla pyörivään samba-palvelimeen kiinni.

Asiaan liittyviä asetuksia voi katsoa gpedit.msc -konsolissa paikasta
Computer Configuration -> Windows Settings -> Security Settings -> Local
Policies -> Security Options

Tutustumisen arvoisia säätökohteita ovat mm:

Microsoft Network Client: -alkuiset asetukset (3kpl) ja Network
Security: -alkuiset joissa puhutaan NTLM:stä. Lupaavimmat asetukset lienevät
"send unencrypted password to third party smb servers" joka on oletuksena
disabled, sitten NTLM SSP:n kohdalla "require 128bit encryption" joka on
oletuksena päällä, samoin Lan Manager Authentication Level, joka oletuksena
on "not configured" mutta käytännössä pakottaa NTLMv2:n käyttöön kun
explain-välilehteä lukee.

Arvaamalla tuohon sopivat säädöt homma todennäköisesti toimii samalla tapaa
kuin XP:ssäkin.

-Sami-

Asko Ikävalko

unread,
Jan 27, 2011, 12:47:03 PM1/27/11
to
"Pertti Kosunen" <pertti....@pp.nic.fi> wrote

> net use m: \\129.129.129.129\jakokansio /user:Kayttajatunnus S4laK4la
> net use m: \\129.129.129.129\jakokansio /user:Kayttajatunnus@MacinNimi
> S4laK4la

Taisin kokeilla jo nuokin vaihtoehdot. Ainakin kokeilin Start -> Run ->
\\129.129.129.129\jakokansio
Tuo kysyi käyttäjänimeä ja salasanaa, jonka jälkeen herjasi niiden olevan
väärät.


> Jääkö lokeihin mitään virheitä?

Niin se varsinainen virheilmoitus jäikin pois alkuperäisestä postauksestani.
Net use herjailee tämmöistä:
"System error 86
The specified network password is not correct"

Vika ei kuitenkaan ole käyttäjätunnuksessa tai salasanassa, koska samat
tunnarit toimii XP koneilla. Olemme saaneet Mac palvelimen ylläpitäjältä
vain yhdet tunnarit, joita käytetään meillä n. viidellä eri työasemalla.

-Asko


Ari Saastamoinen

unread,
Jan 27, 2011, 1:21:45 PM1/27/11
to
Asko Ikävalko <ikaval...@poista.pp.inet.fi.invalid> writes:

> Vika ei kuitenkaan ole käyttäjätunnuksessa tai salasanassa, koska
> samat tunnarit toimii XP koneilla. Olemme saaneet Mac palvelimen

En tiedä koskeeko tämä sun ongelmaasi enkä muista missä vaiheessa se
oli, mutta ainakin jossain välissä Windowseissa (Saattoi olla W95-XP
välissä, mutta saattoi olla myöhemminkin) vaihtui salasanan
välittämiseen käytetty salausmenetelmä, ja sen, että käyttikö kone
uutta vai vanhaa pystyi vaihtamaan registrystä. Tai sitten
vastaavasti serverin päästä samban konffiksesta, mutta kaikilla samaa
serveriä käyttävillä koneilla pitää olla sama versio käytössä.

Timo Pietilä

unread,
Jan 27, 2011, 9:13:38 PM1/27/11
to
Sami Set�l� wrote:
>> Onko muutkin huomanneet, ett� XP:ss� NET USE toimii erilailla kuin
>> Vistassa ja Win7:ssa? Meid�n firman ty�asemat ovat meid�n domainissa
>> ja niill� k�ytet��n er��n toisen firman hallinnoiman Mac -palvelimen
>> levyjakoa t�mm�isell� loitsulla:
>
> Tuossa lienee kysymys windows-levyjakojen autentikointiin liittyvist�
> protokollamuutoksista

> Asiaan liittyvi� asetuksia voi katsoa gpedit.msc -konsolissa paikasta

> Computer Configuration -> Windows Settings -> Security Settings -> Local
> Policies -> Security Options
>

> Tutustumisen arvoisia s��t�kohteita ovat mm:

> Arvaamalla tuohon sopivat s��d�t homma todenn�k�isesti toimii samalla
> tapaa kuin XP:ss�kin.

Joo, ja asiaan kuuluvalla tietoturhalla voi heitt�� vesilintua :-(

Saisiko sen toisen firman muuttamaan palvelimensa johonkin v�h�n
turvallisempaan alustaan?

Timo Pietil�

Pertti Kosunen

unread,
Jan 28, 2011, 6:15:30 AM1/28/11
to
On 28.1.2011 4:13, Timo Pietil� wrote:
> Saisiko sen toisen firman muuttamaan palvelimensa johonkin v�h�n
> turvallisempaan alustaan?

Onkohan M�kiss� Samba? Muistaakseni nykyiset versiot toimivat suoraan
7:n kanssa ilman virityksi�. Voisi pyyt�� toista firmaa p�ivitt�m��n,
jos serveriss� on antiikkinen versio.

encrypt passwords = no

Tuo asetus smb.conffissa voi my�s olla syyp��, sen voinee k��nt��
toiseen asentoon tarvittaessa (mik��n ei taida vaatia salaamattomia
salasanoja nykyp�iv�n�?).

Asko Ikävalko

unread,
Jan 28, 2011, 1:29:45 PM1/28/11
to
"Sami Set�l�" <samis....@gmail.com.invalid> wrote

> Lan Manager Authentication Level, joka oletuksena on "not configured"
> mutta k�yt�nn�ss� pakottaa NTLMv2:n k�ytt��n

T�h�n vaihdettiin asetukseksi:
"L�het� LM- ja NTLM - k�yt� NTLMv2-istunnon suojausta, jos mahdollista"

...niin rupesi homma rokkaamaan. Kiitos Sami!

Timo oli tuossa viereiss� viestiss� huolestunut tietoturvasta, mutta kun
palomuurit on konffittu siten, ett� p��semme vain me kaksi firmaan
keskustelemaan kesken�mme, niin en n�e t�ss� suurta riski�. Kummankaan
firman sis�verkossa tuskin on ket��n, joka ymm�rt�isi n�iden
autentikointitapojen eron, saati sitten osaisi osata hy�k�t� niit� vastaan.
Kyseinen Mac/Samba-serveri ei siis n�y julkiseen nettiin ihan kenelle
tahansa.

-Asko


Sami Setälä

unread,
Jan 28, 2011, 2:15:33 PM1/28/11
to
>> Arvaamalla tuohon sopivat s��d�t homma todenn�k�isesti toimii samalla
>> tapaa kuin XP:ss�kin.
>
> Joo, ja asiaan kuuluvalla tietoturhalla voi heitt�� vesilintua :-(

Pudottamalla asetukset XP:t� vastaavalle tasolle my�s tuon kyseisen yhteyden
tietoturva putoaa XP:n tasolle. Eli sik�li l�ht�kohtaisesti tilannetta ei
ole pakko tehd� sen heikommaksi kuin mit� se on nytk��n. Toki riskit pit��
arvioida tilanteen ja ymp�rist�n mukaisesti, ja katsoa mit� voi tehd� ja
mit� ei. Jos rakennettaisiin uutta ymp�rist��, niin sitten toki tilanne
olisi ihan toinen kuin vanhan laajennuksessa / yksitt�isten ty�asemien
korvaamisessa uudemmilla.

-Sami-

Sami Setälä

unread,
Jan 28, 2011, 2:17:07 PM1/28/11
to
> Timo oli tuossa viereissä viestissä huolestunut tietoturvasta, mutta kun
> palomuurit on konffittu siten, että pääsemme vain me kaksi firmaan
> keskustelemaan keskenämme, niin en näe tässä suurta riskiä.

Aivan, ja siis tuolla säädöllä se seiskakone vaan alkaa jutella samaa
protokollaa kuin ne XP:t joita jo verkossa on, eli sinänsä turvataso ei
oikeastaan edes heikkene.

-Sami-

Timo Pietilä

unread,
Jan 28, 2011, 4:58:58 PM1/28/11
to
Sami Set�l� wrote:
>> Timo oli tuossa viereiss� viestiss� huolestunut tietoturvasta, mutta
>> kun palomuurit on konffittu siten, ett� p��semme vain me kaksi firmaan
>> keskustelemaan kesken�mme, niin en n�e t�ss� suurta riski�.
>
> Aivan, ja siis tuolla s��d�ll� se seiskakone vaan alkaa jutella samaa
> protokollaa kuin ne XP:t joita jo verkossa on, eli sin�ns� turvataso ei
> oikeastaan edes heikkene.

XP tukee korkeampiakin tasoja, Win7 ei tue matalampia, siin� on pieni
ero. Se riippuu siis serverist� mink�tasoisella kryptauksella ollaan
liikenteess�. XP:st�kin saa pois matalampien tasojen tuet (ja itse
asiassa kannattaisi ottaakin, jos on v�h�nkin laajempi verkko).

Muistaakseni muuttamalla tuon asetuksen niin ett� LM on refused XP
lakkaa tallentamasta salasanoja LM-hash -muodossa jolloin salasanojen
kr�kk��minen fyysiselt� koneeltakin muuttuu hankalammaksi.

(Onko porukka kokeillut kr�k�t� omia salasanojaan koskaan? Kannattaisi
kokeilla, voi olla silm�t avaava kokemus. http://ophcrack.sourceforge.net/)

Timo Pietil�

Asko Ikävalko

unread,
Jan 29, 2011, 3:56:27 AM1/29/11
to
"Timo Pietilä" <timo.p...@helsinki.fi> wrote
> (Onko porukka kokeillut kräkätä omia salasanojaan koskaan? Kannattaisi
> kokeilla, voi olla silmät avaava kokemus.
> http://ophcrack.sourceforge.net/)

EVTEK:ssä oli sellainen tietoturvan kurssi kuin "Käytännön hyökkäys ja
puolustusmenetelmät". Siellä murrettiin mm. ZIP-paketin salasana ja
kaivettiin Windowsin Järjestelmänvalvojan salasana esille selväkielisenä.

-Asko


0 new messages