[合集] Windows REMOTE WMI ACCESS CONTROL的设计真实令人叹为观止 - Seattle版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Seattle版 - [合集] Windows REMOTE WMI ACCESS CONTROL的设计真实令人叹为观止

相关主题
● Windows REMOTE WMI ACCESS CONTROL的设计真实令人叹为观止	● 胃坏了，已经5天吃不下饭了，求推荐一款固体热饮。
● 要是地震了,咱都翘了,存款咋办	● Technical Lead Openings in Major Networking Company (south SF bay area)
● Sr. C# Developer (Powershell, WPF) 2 Month Contract	● Software Design Engineer in Test (Full Time)
● BSO ：十岁半男孩智商 160(>99.9%) (转载)	● 哪里买小米？
● SDE Job Posting	● openssl has huge bug
● 这里有微软msn和hotmail组的吗？	● 【招聘】公司财务部商务助理
● Atom processor with 12 inch, Mini-VGA -- $499 from Google	● F5 Networks Seattle 招聘讲中文的网络支持工程师
● 对付wp7的办法出来了，unlocked focus	● 招聘： Security Software Principal Engineer- in Bellevue

相关话题的讨论汇总
话题: server话题: do话题: blame话题: oh

进入Seattle版参与讨论

(共1页)

N*D
发帖数: 3641

☆─────────────────────────────────────☆
nobody123 (人生从不彩排) 于 (Fri Jan 7 19:05:58 2011, 美东) 提到:
太脑残了。
一般来讲，一个客户端软件要访问服务器（比如FTP CLIENT想访问FTP SERVER），只要在
CLIENT知道帐号即可。
稍微复杂一点的，比如MYSQL CLIENT访问MYSQL SERVER，除了知道用户名口令之外，
SERVER还
会检查CLIENT的主机名，以确定是否允许访问。
但WINDOWS REMOTE WMI ACCESS CONTROL的设计脑残，叹为观止。
假设你的CLIENT作为WINDOWS SERVICE运行在HOST A上，打算访问HOST B的WMI数据。
情况一。如果A和B都不在DOMAIN中，那么必须创建一个用户名和密码都相同的帐号在A
和B上，然后
配置SERVICE在A上以该用户的名义运行（否则即使你在连接B时，告诉B该用户名和密码
也没用）
情况二。如果A在DOMAIN中，而B不在，对不起无法访问
情况三。如果A不在DOMAIN中，而B在，对不起无法访问
情况四。如果A和B都在同一DOMAIN中，如果DOMAIN SERVER允许A的COMPUTER ACCOUNT访问
B，那么你的SERVICE可以LOCAL SYSTEM ACCOUNT运行并访问B。但在连接B时，必须告诉
B一个
DOMAIN中的帐号
情况五。如果A和B在同一DOMAIN中，如果DOMAIN SERVER不允许A的COMPUTER ACCOUNT访问
B，那么你的SERVICE必须以一个DOMAIN ACCOUNT的名义运行
情况六。如果A和B不在同一DOMAIN中。。。
☆─────────────────────────────────────☆
AdamsMyIdol (F3) 于 (Fri Jan 7 20:28:46 2011, 美东) 提到:
Windows WMI 是给你（远程）管理机器用的吧？
ftp 怎么能和它的security要求比。
如果A和B不在一个domain里（或者是domain没有trust relationship），当然不能让你
去WMI remote 了。

要在
A
☆─────────────────────────────────────☆
berkey (berkey) 于 (Sat Jan 8 04:29:13 2011, 美东) 提到:
顶！！！ OP自己挺脑残的，套句某工商局长的话，这是拿250女人的胡子和一个男人的
胡子比较，很不科学。
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sat Jan 8 05:26:58 2011, 美东) 提到:
看过别的系统的远程管理吗？就拿UNIX来说，root和普通用户在authentication方面没
任何区别，你就算在中国，只要能
tcp连上，有用户名有密码就能登上来。我也没见unix系统更不安全。微软就是被你这
种态度搞成现在这么个半死不活的样
子。
☆─────────────────────────────────────☆
berkey (berkey) 于 (Sat Jan 8 06:10:54 2011, 美东) 提到:
Unix里有像WMI类似的东东吗？你要远程登录Windows，RDP 也只要用户名和密码啊。
WMI和RemoteDesktop 是不一样的东东。
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sat Jan 8 06:20:34 2011, 美东) 提到:
微软的很多东西确实有 overdesign 的嫌疑，但你也不能说它没道理。
不在一个 domain 你无法 verify machine identity。这种情况下把自己的 username 和
password 送过去不是自投罗网么？
说实在的，这个还真是不算什么。我见过得比这个叹为观止的多了。微软的问题不是不听 customer, 而是听得太多，try to be all things for all people, 结果弄出好多没有品味的东西。
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sat Jan 8 08:32:15 2011, 美东) 提到:
windows也有类似的remote desktop，你可用管理员口令登录
☆─────────────────────────────────────☆
TTU (Call for Drama) 于 (Sat Jan 8 09:08:48 2011, 美东) 提到:
enterprise安全设计能跟ftp比吗？
虽然也很痛恨windows domain authentication。当年加入domain, 要把我账户改了才
能加入。
要在
A
☆─────────────────────────────────────☆
kongkong00 (kongkong) 于 (Sat Jan 8 09:27:02 2011, 美东) 提到:
from the 6 cases listed, the design is not that bad.
☆─────────────────────────────────────☆
fishing2009 ( 渔民) 于 (Sat Jan 8 10:47:28 2011, 美东) 提到:
你的用词太扩张了. 就是挖坑也别这么激动,好不好
不同的设计需求, 决定具体实施. 你举3个例子, 都是牛头不对马嘴的三个不同需求.
1.ftp 文件管理, 安全设计当然简单,易用.
2. MYSQL 是数据库. ms sql 也是类似的登陆方式
3. 管理domain(s) 安全上面的设计是要求最高的.
回归到最后, 你要问你自己, 你为什么要使用wmi?
要在
A
☆─────────────────────────────────────☆
Foxman (今狐冲) 于 (Sat Jan 8 10:47:45 2011, 美东) 提到:
微软这个更SECURE，十几年前Windows Network开始就是这个思路，主要是可以VERIFY
主机。如果你要访问A，那么必须要在一台A能够直接或间接确认（通过域成员或信任）
的主机上有帐号。你说的那些方法客户机器的IDENTIFY都很容易复制，要实现安全必须
手工设置SSL。
要在
A
☆─────────────────────────────────────☆
hnbjaz (hnbjaz) 于 (Sat Jan 8 12:41:35 2011, 美东) 提到:
你连基本的DOMAIN的认证关系都没搞清楚。先看看书再来写.
☆─────────────────────────────────────☆
jewelry (珠宝狼) 于 (Sat Jan 8 12:47:14 2011, 美东) 提到:
只见牛人们被贴子标题吸引，纷纷瞥过一眼，各伸一小指拍死OP……我不禁萧萧
☆─────────────────────────────────────☆
dourdour (dour) 于 (Sat Jan 8 13:19:19 2011, 美东) 提到:
CAN。。。。。。。。。。。。。。
☆─────────────────────────────────────☆
cgzb (树之裸体) 于 (Sat Jan 8 13:53:37 2011, 美东) 提到:
windows server 2008里面,有forest,tree,domain,ou,site等慨念,还有global xxx,
universal xxx什么的.你只提到domain,其实可以试试site,ou等.
要在
A
☆─────────────────────────────────────☆
xoxo (titan) 于 (Sat Jan 8 15:01:29 2011, 美东) 提到:
在这里的微软人像蚂蚁一样，你这不是找挨批吗，即便你是对的，架不住人家唾沫多呀。
malesoft does suck.
要在
A
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sat Jan 8 15:59:39 2011, 美东) 提到:
你确定你明白他写的任何一个词汇吗？还是一看到microsoft就扑过来了
呀。
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sat Jan 8 23:13:24 2011, 美东) 提到:
我是说如果你追求安全，那你的argument站不住脚。你如果能说服我WMI与普通的远程
root登陆对于
安全需求有任何本质的区别的话那我就服了。你现在说＂是不一样的东东＂可说不服我。
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sat Jan 8 23:17:37 2011, 美东) 提到:
可是你连一台机器是啥都不知道，就想连上去做事情，这本身就是一件没法想象的事儿
啊。
你说的我很有同感。这么多年感觉用的系统，写的代码什么的，最后存留下来的都是特
别清楚特别简单
的东西。微软的思路我确实欣赏不了。
username 和
不听
customer, 而是听得太多，try to be all things for all people, 结果弄出好多没
有品味
的东西。
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sat Jan 8 23:31:15 2011, 美东) 提到:
你可能在开始 setup 的时候知道另一台机器是对的。但是有可能三天后就经历 Man-in
-the-middle Attack.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Domain 内的 machine identity verification 是为了防止这一类东西的。
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sat Jan 8 23:46:52 2011, 美东) 提到:
Haha, you got it.
Microsoft single-handedly made the IT Administrator's job more respectable. :)
☆─────────────────────────────────────☆
klahissa (klahissa) 于 (Sun Jan 9 00:36:34 2011, 美东) 提到:
果真是来找骂的。。你要想要像unix远程root登陆，RDP不就可以用麻，是不是没有听
说过什么是RDP啊？赫赫
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sun Jan 9 06:09:10 2011, 美东) 提到:
...
ssh有同样的问题，都是通过key来解决的。你的理由太不充分了。
in
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sun Jan 9 06:14:24 2011, 美东) 提到:
还说人家找骂。就是这种＂用不好你自己小白，不会用有种别用＂的态度。现在别人搜
索不用bing，手
机不用windows，等哪天连台式机都不用windows你就彻底开心了吧。
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 06:51:21 2011, 美东) 提到:
key可以盗
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 06:53:14 2011, 美东) 提到:
不用你操闲心。remote WMI是给IT管理员用的，普通用户不用它。
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sun Jan 9 07:20:59 2011, 美东) 提到:
SSH 好像没能解决这个问题吧？要是那样还要 Kerboros 干啥？
你展开说说 SSH 怎么解决这个的？
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 07:30:36 2011, 美东) 提到:
ssh在连接开始远程机器通过public private key系统对用户认证。没什么特别的，
windows的RDP也做同样的事情
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sun Jan 9 07:33:52 2011, 美东) 提到:
不管有没有 key 一样可以用 Man-in-the-middle Attack. 就连 HTTPS 也不能幸免。建议你们看看这个
http://docstore.mik.ua/orelly/networking_2ndEd/ssh/ch11_04.htm
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 07:42:57 2011, 美东) 提到:
你这是在宣传kerberos吧
。建议你们看看这个
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sun Jan 9 07:46:40 2011, 美东) 提到:
不是宣传 kerboros。微软的 Active Directory 的 idea 是很相似的。
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 07:47:59 2011, 美东) 提到:
不读。**前还要先读一下你的技术文章，还那么长。没读完就睡着了，还有心情*吗
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Sun Jan 9 08:23:11 2011, 美东) 提到:
这不是吵架。这是充满热情的技术大讨论。
嗯。就是这样。
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 08:27:57 2011, 美东) 提到:
我只是拿吵架举个例子，吵架可以换成灌水，发牢骚，抬扛等等
☆─────────────────────────────────────☆
easyexpress (杜紫藤) 于 (Sun Jan 9 17:17:26 2011, 美东) 提到:
Remote WMI是WinNT/2k时代的遗留技术，从现在的观点看当然不合潮流了，但当时的大
环境是强调信息安全而不是方便易用，特别是当时很多人指责微软的技术安全漏洞太多
（如果你是从那个时代过来的，相信还有印象），所以当时用近乎繁琐的方法来刻意强
调安全性可以说是有其策略在里面的。
至于今天，如果你是了解微软技术的专业IT人员，应该听说过Powershell和WinRM吧，
其认证方法灵活许多，使用最简单的认证方式提供用户名密码即可，当然也提供较为复
杂的kerbos和证书等认证模式。
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sun Jan 9 19:53:32 2011, 美东) 提到:
after you successfully authenticated with the remote host, the remote host
will generate a public key. You store it in your local host. If ever your
local host detects this public key change it'll alert you about man-in-
the-middle attack.
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sun Jan 9 19:54:50 2011, 美东) 提到:
...
root account is used by admins only. i'd appreciate it if you go back and
read my posts from the start.
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Sun Jan 9 21:47:15 2011, 美东) 提到:
你一个软黑，什么破文章能值得我从头读？
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Sun Jan 9 23:12:17 2011, 美东) 提到:
fine. that's the spirit of discussion. either you reason with me, or
please stay away from my posts.
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Mon Jan 10 01:49:41 2011, 美东) 提到:
This is not a solution. I have seen tons of the those warnings myself and I
just ignore them. How do I know whether I am ACTUALLY under attack?
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Mon Jan 10 11:28:41 2011, 美东) 提到:
or you stay away from my board, my mitbbs, my network, or my earth.
搞笑,有什么是你的?你买下来了?
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Tue Jan 11 00:53:31 2011, 美东) 提到:
...
I authored the posts! Now I warn you really stay away. Otherwise I won't
be nice.
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Tue Jan 11 00:55:31 2011, 美东) 提到:
It turns out it's working just fine. Otherwise ssh would've just changed,
right?
Now how would you really know you're under attack? If you know it wouldn't
be an attack (or an effective attack).
and I
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Tue Jan 11 01:02:45 2011, 美东) 提到:
I have yet to see a convincing argument. I would've been convinced if you
said it's for performance reasons. Except you all I saw was aggressive
personal attacks.
changed,
wouldn't
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Tue Jan 11 02:11:30 2011, 美东) 提到:
你这就不是讨论的态度了，而是强词夺理了。
It turns out WMI is working just fine. Otherwise it would've just changed,
right? So there is no need to persuade anybody.
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Tue Jan 11 04:14:51 2011, 美东) 提到:
Well, you didn't give a solid argument in the first place. What do u mean
you "neglect them all the time"? Is that the reason you think it's not
effective?
changed,
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Tue Jan 11 04:54:53 2011, 美东) 提到:
lol, you are really nice. 存在你家硬盘上的才是你的，发出来的任何人都可以回。
你几岁了？到现在还什么都是你的你的的。
☆─────────────────────────────────────☆
PotatoKing (土豆大师) 于 (Tue Jan 11 04:56:57 2011, 美东) 提到:
Well it seems that you don't know SSH, Kerboros etc. at all and have no
interest in knowing more (I have already provided the resources to you but
obviously you don't want to read them). So I give up. You are fearless and invincible, OK?
That's the end of it.
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Tue Jan 11 04:59:16 2011, 美东) 提到:
我早说过，他只是软黑而已。和我一样不是来讨论技术的，只是他一直还在伪装
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Wed Jan 12 01:37:59 2011, 美东) 提到:
I read it actually. Your article is really about ssh in general. When you
cite a paper you don't just cite it, you summarize its argument and use it
to your advantage. You can't expect readers to read the whole journal just
because you said it's about security/key encryption/whatever topic.
I don't really specialize in security, but if I discuss my area with people
I try to respect them, educate them (including giving big pictures instead
of giving stacks of references), and reason with them with logic. If you don
't wanna continue the discussion that's fine. Don't act like your fellow
Microsofters.
and invincible, OK?
☆─────────────────────────────────────☆
winterchill (冷冷的太阳) 于 (Wed Jan 12 01:41:49 2011, 美东) 提到:
so, according to your logic, you authored a book, and the book's not yours
unless you buy every single copy of it, is that your point?
man, you really need to argue with logic. i don't wanna insult you or
anything. you can do whatever you want with my posts from now. i won't reply
no matter what.
☆─────────────────────────────────────☆
wai (第六大贤人) 于 (Wed Jan 12 08:49:27 2011, 美东) 提到:
本来我都不想再让这个贴子再浮起来了，看了你这个实在忍不住。就你这水平还真大言
不惭的讲逻辑，你在网上贴的每个贴子都和你写的书一样？就算是你写的书，别人还有
权利评论呢。你在别的贴子的逻辑也可笑之极，基本上就是unix这么用了这么长时间就
说明是好的没问题的，ssh这么用了这么长时间就说明是好的没问题的，否则就会改了
。所以windows不一样就是坏的.明明是软黑，还装技术人儿
reply
☆─────────────────────────────────────☆
mitbbsphd (买买提荣誉烈士学位) 于 (Wed Jan 12 14:57:44 2011, 美东) 提到:
FTP sends username/password on the network in clear. It is known to the
world.
Don't know how MYSQL authenticates. It is questionable how client's hostname
is ensured authentic.
Oh, wait, you point is all about how a server authenticates a client. what
about the client authenticates the server (so trusts the server)? If the
server is malicious, do you realize how bad it is to send your password over
? Oh, you may say SSL. Do you really believe average user can do things
right when system notifies that server's certificate is not trusted? When
such thing happens, users first blame M$ instead of themselves.
M$ is very serious about security and does most thing right regarding to
security. You can blame user experience as an average user. But please do
some more homework when you blame its design as a "technical professional".
要在
A

(共1页)

进入Seattle版参与讨论

相关主题
● 招聘： Security Software Principal Engineer- in Bellevue	● SDE Job Posting
● 请问Bellevue downtown的东来食府搬到哪里去了？	● 这里有微软msn和hotmail组的吗？
● 小肥羊 in Seattle	● Atom processor with 12 inch, Mini-VGA -- $499 from Google
● 请问大家买新车完毕后一般多少时间后收到正式车牌？	● 对付wp7的办法出来了，unlocked focus
● Windows REMOTE WMI ACCESS CONTROL的设计真实令人叹为观止	● 胃坏了，已经5天吃不下饭了，求推荐一款固体热饮。
● 要是地震了,咱都翘了,存款咋办	● Technical Lead Openings in Major Networking Company (south SF bay area)
● Sr. C# Developer (Powershell, WPF) 2 Month Contract	● Software Design Engineer in Test (Full Time)
● BSO ：十岁半男孩智商 160(>99.9%) (转载)	● 哪里买小米？

相关话题的讨论汇总
话题: server话题: do话题: blame话题: oh

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天