Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
"полицейские и воры", часть 2 (пятничная задачко)
Сисадминское
18
118
Поделиться
недавно обсуждали тему, как админу незаметно следить за пользователем (пк и учетка пользователя - в AD)
предположим, находится пользователь, который не хочет, чтоб за ним следили.
что он делает. выдергивает патч-корд из сетевухи, берет сидюк для сброса пароля админского, загружается с него, заходит под учеткой админа, ставит файрвол и в файрволе запрет на все входящие соединения
после этого перезагружается, подключает патчкорд, логинится, скриптами из групповой политики пароль учетки админской восстанавливается до стандартного (известного только админу). но файрвол стоит, входящие соединения режутся на корню.
физического доступа у админа к компу нет. какой именно файрвол используется - админ не знает.
вопрос - как админу домена, не имея физического доступа к компу:
1. подсмотреть за пользователем, не трогая файрвол
2. скрытно отключить фильтрующие правила на файрволе
3. снести файрвол
p.s. модерам. тема не очень серьезная, для технотусы вполне подходит, то там народу меньше
предположим, находится пользователь, который не хочет, чтоб за ним следили.
что он делает. выдергивает патч-корд из сетевухи, берет сидюк для сброса пароля админского, загружается с него, заходит под учеткой админа, ставит файрвол и в файрволе запрет на все входящие соединения
после этого перезагружается, подключает патчкорд, логинится, скриптами из групповой политики пароль учетки админской восстанавливается до стандартного (известного только админу). но файрвол стоит, входящие соединения режутся на корню.
физического доступа у админа к компу нет. какой именно файрвол используется - админ не знает.
вопрос - как админу домена, не имея физического доступа к компу:
1. подсмотреть за пользователем, не трогая файрвол
2. скрытно отключить фильтрующие правила на файрволе
3. снести файрвол
p.s. модерам. тема не очень серьезная, для технотусы вполне подходит, то там народу меньше
Дык фаер доменной политикой отключается.
Встроенный если.
Встроенный если.
не, так совсем скучно. фаер не встроенный, какой именно - неизвестно.
Политикой запретить выполнение всего софта кроме разрешенного.
Что бы он под локальным не поставил, не будет стартовать.
Что бы он под локальным не поставил, не будет стартовать.
Один из вариантов, причем самый простой
+1 за SRP, заодно и от вирусни кой какая защита
в принципе логично
штук 20 экзешников разрешить, чтоб залогиниться только смог - а потом сам позвонит и покается)))
штук 20 экзешников разрешить, чтоб залогиниться только смог - а потом сам позвонит и покается)))
легко обойти. Если уж пользователь додумался до предыдущего действия, то это действие обойти не составит труда
не давать политике применяться я знаю только один способ - запрет изменение определенных веток реестра пользователю SYSTEM
или есть способ лучше?
или есть способ лучше?
мысль правильная можно не дать выполниться групповой политике. Это можно сделать локальным админом, без влезания в ключи реестра.
второй подмена разрешенного файла.
Второй даже красивее.
второй подмена разрешенного файла.
Второй даже красивее.
интересно)
где подробнее почитать можно?
где подробнее почитать можно?
Честно говоря не знаю где почитать. Это навскидку.
допустим вы разрешаете пользоваться блокнотом. Т.е файл notepad.exe разрешен для запуска. Переименовываю файл Firewall.exe в notepad.exe.
Вуаля. усе работает.
допустим вы разрешаете пользоваться блокнотом. Т.е файл notepad.exe разрешен для запуска. Переименовываю файл Firewall.exe в notepad.exe.
Вуаля. усе работает.
Да щас )
А как же контрольная сумма исполняемого файла ? :)
А как же контрольная сумма исполняемого файла ? :)
а в групповых политиках её можно хранить и контролировать?
чексум у notepad.exe ведь на каждом компе может быть свой, полностью идентичные ОС на всех ПК домена скорее исключение, чем правило
чексум у notepad.exe ведь на каждом компе может быть свой, полностью идентичные ОС на всех ПК домена скорее исключение, чем правило
Да, при написании политики указываешь исполняемый файл с которого надо высчитать хеш и он соотвественно проверяется. Есть возможность проверки dll которые тянет за собой экзешник, но это очень тормозит работу. Так же можно делать проверку по сертификату, если на файле есть цифровая подпись.
С каких это пор групповая политика стала проверять контрольную сумму исполняемого файла? Может я уже отстал от жизни?
А если разрешать запускать файлы *.exe только из определённых директорий, на которые есть доступ только на чтение, причём писАть туда может только какая-нибудь доменная учётка?
угу
локальному админу кто помешает "овладеть" этой директорией и дать себе права на запись?
локальному админу кто помешает "овладеть" этой директорией и дать себе права на запись?
Есть ли какие-то препятствия против "овладевания" локальным админом?
нет. ливСД все шансы рубят на корню
А запрет грузиться со съёмных носителей (и пароль на бивис) + пломба на корпус системника?
перезагрузитесь, только вместо del нажмите ф8 (вроде, посмотрите, там пишет), появится меню bbs popup где можно выбрать откуда загружаться, и быстрый тест показал что пароль биоса на него не влияет
многие, если не все, сетевые карточки позволяют сейчас грузить комп по PXE, так что запретив все, сеть то не отключишь, значит он сможет загрузиться, допустим со своего ноута
многие, если не все, сетевые карточки позволяют сейчас грузить комп по PXE, так что запретив все, сеть то не отключишь, значит он сможет загрузиться, допустим со своего ноута
Ну основной то вопрос был "что делать после" ... что делать до большинство посещающих этот форум и так знают).
Получается отстал )
По моему, я указал, что такая политика действует только для клиентов с xp.
Неправда.
Начиная с 2к есть везде.
Начиная с 2к есть везде.
Вот выдержка. Мы не говорим, что ее нет, мы говорим о ее выполнении на компьютере пользователя.
Решение таких задач с использованием политик ограниченного использования программ предоставляет администратору способ идентификации программ, выполняемых на компьютере домена и создание правил, устанавливающих возможность их выполнения. Использование таких политик возможно на операционных системах Windows Vista, Windows Server 2003 и Windows XP.
Решение таких задач с использованием политик ограниченного использования программ предоставляет администратору способ идентификации программ, выполняемых на компьютере домена и создание правил, устанавливающих возможность их выполнения. Использование таких политик возможно на операционных системах Windows Vista, Windows Server 2003 и Windows XP.
Хотя вру, для клиентов XP можно установить проверку на хеш файлов и их местонахождение в GP
notepad.exe подменить на firewall.exe это мне кажется, не изящно)))
а вот "
а вот "
не дать выполниться групповой политике. Это можно сделать локальным админом, без влезания в ключи реестра
" вполне даже красиво. только я не знаю как.
Интерес в качестве вора ли полицейского :) ?
лично мне ближе роль второго, но умение пользоваться отмычками считаю необходимым)
Второй способ мне кажется более изящным. Трояны просто обожают это делать.
Что касаемо GP достаточно в сетевом окружении убрать DNS контроллера. Это приведет к невыполнению GP, комп просто не знает где ее взять. Если используем DHCP, адрес устанавливаем статическим, предварительно взяв его из ipconfig /all
Что касаемо GP достаточно в сетевом окружении убрать DNS контроллера. Это приведет к невыполнению GP, комп просто не знает где ее взять. Если используем DHCP, адрес устанавливаем статическим, предварительно взяв его из ipconfig /all
а имена как резолвить?
такой же вопрос
причем даже если эту проблему решить, если на контроллере домена не будет пк регистрироваться, то рано или поздно его учетка в домене сдохнет и появится новый пласт проблем)))
причем даже если эту проблему решить, если на контроллере домена не будет пк регистрироваться, то рано или поздно его учетка в домене сдохнет и появится новый пласт проблем)))
Shreder писал(а)
если на контроллере домена не будет пк регистрироваться, то рано или поздно его учетка в домене сдохнет и появится новый пласт проблем)))
если на контроллере домена не будет пк регистрироваться, то рано или поздно его учетка в домене сдохнет и появится новый пласт проблем)))
Завести под взломанным админом другую учётку - и заходить с неё когда нужен "чистый приват" - не пройдёт)?
неспортивно.
проще сетевой шнурок выдергивать)
проще сетевой шнурок выдергивать)
Господа, мы говорим как обойти проблему. в данный момент с данной задачей.
Могу сказать, что пользователь зайдет в систему, загрузка будет долгой и ругачей, но политики не выполнятся. Другой метод предложил "Колючий".
простым но эффективным выдергиванием шнура. Эффект будет тот же самый.
Итог - пользователь запустит необходимую прогу если у него хватает прав.
И главное (если мы говорим о конкретном примере) - обычно независимый фаервол запускается как служба с правами системы и запуск от имени пользователя происходит только оболочки управления, на которую по сути можно и забить уже, оставив все как есть (не выдергивать шнуры, не грохать dns, оставив выполнение групповой политики). фаер - будет работать.
Могу сказать, что пользователь зайдет в систему, загрузка будет долгой и ругачей, но политики не выполнятся. Другой метод предложил "Колючий".
простым но эффективным выдергиванием шнура. Эффект будет тот же самый.
Итог - пользователь запустит необходимую прогу если у него хватает прав.
И главное (если мы говорим о конкретном примере) - обычно независимый фаервол запускается как служба с правами системы и запуск от имени пользователя происходит только оболочки управления, на которую по сути можно и забить уже, оставив все как есть (не выдергивать шнуры, не грохать dns, оставив выполнение групповой политики). фаер - будет работать.
кто бы еще разрешил днс-запросы клиентского пк к внешним сервакам)))
не прокатит, в условиях задачи, админ не полный кретин, и доступ наружу значит ограничен
DNS не всегда ограничивают).
это уже зависит от настроения админа, я бы отрезал
А "физический смысл")?
смысл:
1) экономия 2р на ДНС-трафике
2) повышение безопасности на 0,01%
3)создание проблем таким продвинутым юзерам
1) экономия 2р на ДНС-трафике
2) повышение безопасности на 0,01%
3)создание проблем таким продвинутым юзерам
разрешить исходящие запросы на 53 порт наружу на один конкретный хост - более-менее нормально
на любой хост - дырка
на любой хост - дырка
Shreder писал(а)
на любой хост - дырка
на любой хост - дырка
Основания?
за пределами корпоративного периметра поднимается сервис-туннель
и любой юзер имеет неограниченный доступ в инет
хочет - порносайты, хочет - внешнее мыло, хочет - сливает коммерческую тайну
и любой юзер имеет неограниченный доступ в инет
хочет - порносайты, хочет - внешнее мыло, хочет - сливает коммерческую тайну
Всё это проверяли на практике - очень низкая скорость обычно получается.
низкая скорость это если именно dns-запросы наружу выпускать
а если тупо 53 порт открыть - нормальная скорость получится
а если тупо 53 порт открыть - нормальная скорость получится
Ну я про разумную фильтрацию и говорил).
Обойти скрипты политики, применяющиеся при старте и при логоне в домен очень просто - надо выдирать сетевой кабель и подключать его снова после логона на машину. Либо, зная траффик (порты, протоколы) или модули ОС, которые занимаются применением групповых политик, запрещать это дело фаером. Но тут надо покопаться и работать тонко, чтобы вся остальная работа в домене не страдала.
Про те вещи, которые применяются периодически при нахождении в сети, из разряда доменных суффиксов и т.п., знаю, очень мало, но они некритичны для нашей задачки.
Да, это неудобно, проще договориться с админом, много раз сказано. Но бывают админы, которые договариваться не хотят.
Про те вещи, которые применяются периодически при нахождении в сети, из разряда доменных суффиксов и т.п., знаю, очень мало, но они некритичны для нашей задачки.
Да, это неудобно, проще договориться с админом, много раз сказано. Но бывают админы, которые договариваться не хотят.
+1000 к договоренности с админом.
Честно скажу, я не знаю способа защиты машины, к которой есть физический доступ.
Здесь должно все регулироваться только правовыми документами предприятия.
Честно скажу, я не знаю способа защиты машины, к которой есть физический доступ.
Здесь должно все регулироваться только правовыми документами предприятия.
договоренности это хорошо, но условия задачки другие)))
есть админ - вполне адекватный, но в силу характера или по другим причинам несколько любопытный, хочет изредка тихонько подсматривать за юзерами
есть юзер - вполне трудолюбивый, ничего не нарушающий, но до колик в заднем проходе не терпящий подсматривания за собой
один ловит, другой убегает, рассматриваем их шансы и применяемые методики
есть админ - вполне адекватный, но в силу характера или по другим причинам несколько любопытный, хочет изредка тихонько подсматривать за юзерами
есть юзер - вполне трудолюбивый, ничего не нарушающий, но до колик в заднем проходе не терпящий подсматривания за собой
один ловит, другой убегает, рассматриваем их шансы и применяемые методики
Повторюсь, не знаю я такого метода.
Если "ВОР" имеет физический доступ, а вы пытаетесь решить эту проблему только программными способами, выигрыш у "ВОРА" - 100%.
Рассматриваем именно грамотного "ВОРА"
Если "ВОР" имеет физический доступ, а вы пытаетесь решить эту проблему только программными способами, выигрыш у "ВОРА" - 100%.
Рассматриваем именно грамотного "ВОРА"
Так может сделать невозможным выдергивание сетевого шнурка?
Для тех кто не любит вандализма это может быть например wi-fi + полная работа всех в терминале, исключая работу локально.
Для тех кто не любит вандализма это может быть например wi-fi + полная работа всех в терминале, исключая работу локально.
Psycho писал(а)
Политикой запретить выполнение всего софта кроме разрешенного.
Что бы он под локальным не поставил, не будет стартовать.
Политикой запретить выполнение всего софта кроме разрешенного.
Что бы он под локальным не поставил, не будет стартовать.
вобщем тем же фаером можно такой политике не дать загрузиться
говорим фаеру - не давать процессу winlogon.exe менять такую-то ветвь реестра
фаер чуть раньше начинает работать, чем winlogon начинает апдейтить реестр
и в принципе воры пока побеждают)
тоже правильно, хотя глупо уже ходить в домен имея прова локального админа :)
хочется комфорту - чтоб десять раз не вводить пароль доменной учетки для запуска всяких одинэсок, аутлуков и работы с файловыми ресурсами)))
ну зачем останавливаться. Если уж валить так по полной
Дальше мы получим пароль Администратора домена. И кто за кем будет следить - это уже вопрос.
Вот здесь стоит подумать - как этого не допустить ,точнее наверное все таки затруднить. По умолчанию и w2000server и 2003 настроены для наиболее удобного способа выцарапывания пароля.администратора домена.
Дальше мы получим пароль Администратора домена. И кто за кем будет следить - это уже вопрос.
Вот здесь стоит подумать - как этого не допустить ,точнее наверное все таки затруднить. По умолчанию и w2000server и 2003 настроены для наиболее удобного способа выцарапывания пароля.администратора домена.
web-камеру поставить
юзеру в лобную кость молотком вбить? :-)))
Shreder писал(а)
логинится, скриптами из групповой политики пароль учетки админской восстанавливается до стандартного (известного только админу).
входящие соединения режутся на корню
логинится, скриптами из групповой политики пароль учетки админской восстанавливается до стандартного (известного только админу).
входящие соединения режутся на корню
На сколько я помню для работы скриптов нужны открытые входящие порты.
если я ничего не путаю, входящие не нужны
винда на клиентском компе запрашивает из AD, че ей делать, соединение исходящее
винда на клиентском компе запрашивает из AD, че ей делать, соединение исходящее
Групповые политики работаю через admin шару
я на практике пробую)))
все входящие соединения запрещены, ГП срабатывают
все входящие соединения запрещены, ГП срабатывают
Цель всего этого проекта узнать что делает пользователь на компе или в сети(локальной и глобальной)
есть "подсматривальщики" и "юзеры"
в качестве разминки для мозга исследуем возможности их взаимной борьбы)
в качестве разминки для мозга исследуем возможности их взаимной борьбы)
если совсем в параною ударицо:
1) ограничить физический доступ к системным блокам(ну или исключить вскрытие зотяб)
2) никаких приводов на ситемнике и отключенные усб порты
3) ну само собой запароленый биос (при условии что доступа к джамперу и батарейке нет вполне себе мера)
4) ну а далее по списку ограничение политиками действий юзера, чтоб ниче поставить и запустить левое несмог
5) видеокамера (человек с плёткой) за спиной не оставят шансов вовсе)))
1) ограничить физический доступ к системным блокам(ну или исключить вскрытие зотяб)
2) никаких приводов на ситемнике и отключенные усб порты
3) ну само собой запароленый биос (при условии что доступа к джамперу и батарейке нет вполне себе мера)
4) ну а далее по списку ограничение политиками действий юзера, чтоб ниче поставить и запустить левое несмог
5) видеокамера (человек с плёткой) за спиной не оставят шансов вовсе)))
ну вы уже рассказываете как бороться, чтоб так не было
а я прошу найти решение, что сделать, если факт уже свершился и физического доступа к ПК/юзеру нет
а я прошу найти решение, что сделать, если факт уже свершился и физического доступа к ПК/юзеру нет
можно будет по PXE загрузиться со своего ноута, выбор откуда грузиться можно сделать не заходя в БИОС, надо ф8 или ф9 нажать и появится меню загрузки, там пароль биос-супервизора не действует, я проверял
по поводу воткнуть ноут в сетку - отельный вопрос. Какбы это тоже исключается путем нехитрых манипуляций.
топикстартеру: если юзер заполучил локальные админ права на тачко, будьте готовы что без физического вмешательства вы ничего не сделаете. Поэтому этого изначально нужно избегать.
топикстартеру: если юзер заполучил локальные админ права на тачко, будьте готовы что без физического вмешательства вы ничего не сделаете. Поэтому этого изначально нужно избегать.
не в сетку а напрямую в комп перекрестным кабелем
спастись можно только спрятав комп в сейф а все сетевые провода вмуровать в стену
спастись можно только спрятав комп в сейф а все сетевые провода вмуровать в стену
Решение не по условию зачи, сорри ))
Если юзверь бы такое сделал ( ему пришло бы еще открыть комп и сбросить пароль на биос) а это уже очень уже большое нарушение , то такому юзеру работать осталось считанные дни.
Если юзверь бы такое сделал ( ему пришло бы еще открыть комп и сбросить пароль на биос) а это уже очень уже большое нарушение , то такому юзеру работать осталось считанные дни.
не обязательно
антивирусное какое-нито ПО пользуете?
есть просто фишка в новых пакетах антивирусов (corporate) валить весь фаерволо-антивирусный софт мешающий, так что через скриптаки как вариант можно сделать.
т.о.(например kav adminkit):
ставим нет агент
ставим каспер
каспер валит всю мешающую софтину (фаер оттрахан)
ставится DameWare NT Utilites (модуль управления подготовленный)
вуаля блин))
далее борьба по режиму paranoid mode
есть просто фишка в новых пакетах антивирусов (corporate) валить весь фаерволо-антивирусный софт мешающий, так что через скриптаки как вариант можно сделать.
т.о.(например kav adminkit):
ставим нет агент
ставим каспер
каспер валит всю мешающую софтину (фаер оттрахан)
ставится DameWare NT Utilites (модуль управления подготовленный)
вуаля блин))
далее борьба по режиму paranoid mode
дык фаер антивирусу не мешает, с чего его антивирус будет заваливать фаер?
антивирус нормально обновляется (symantec корпоративный)
антивирус нормально обновляется (symantec корпоративный)
это где это нынче симантек юзается 0_о
бедные вы люди.....
бедные вы люди.....
ну у меня симантек. у двух клиентов симантек. А что не так-то? Кошмаровского что ли в сеть пускать?
*ля, симантек это убожество... без обид... херня которая ни хрена пока что мне даж кидо не поймал толком..... в общем ми в нём крайне разочаровался....
каспер в плане решений корпоративных - оч даж айс
каспер в плане решений корпоративных - оч даж айс
Смотря какой антивирус и фаер.
Доменный админ старше локального
Дамеварря позволяет мониторить и убивать процессы и сервисы.
я ответил на Ваш вопрос?
Но я бы начал с иного конца - служебку на стол руководителю с описанием действий, произведенных над КАЗЁННЫМ имуществом. И обязательную приписку "Снимаю с себя ответственность за работоспособность программно-аппаратного комплекса и сохранность информации на данном компьютере". Ну еще можно добавить об угрозе безопасности функционирования всей системы предприятия.
Дамеварря позволяет мониторить и убивать процессы и сервисы.
я ответил на Ваш вопрос?
Но я бы начал с иного конца - служебку на стол руководителю с описанием действий, произведенных над КАЗЁННЫМ имуществом. И обязательную приписку "Снимаю с себя ответственность за работоспособность программно-аппаратного комплекса и сохранность информации на данном компьютере". Ну еще можно добавить об угрозе безопасности функционирования всей системы предприятия.
Доменный админ старше локального
это понятно, но как это применить на практике? Дамеварря позволяет мониторить и убивать процессы и сервисы
чтобы дамеваря убила какой-то процесс, её службу нужно установить и запустить на клиентском ПК, а потом до кучи ей скомандовать на поражение а как это сделать, если ПК на все входящие соединения забивает?
Но я бы начал с иного конца
еще можно ногами сходить и юзеру в бубен дать. я тоже считаю, что административные меры сильнее технических в данном случае, но обсудить предлагаю именно технические
www.askit.ru/custom/ad/m6/lab06_01_gp_software_install.htm
софт через АД установить
я думаю тимвьюер поможет, он через фаеры умеет работать
вообще он установки не требует, но придется поколдовать, чтобы знать параметры которые будут на стороне клиента
софт через АД установить
я думаю тимвьюер поможет, он через фаеры умеет работать
вообще он установки не требует, но придется поколдовать, чтобы знать параметры которые будут на стороне клиента
не катит.
работает он по 80 порту, поэтому и написали что через фаеры работает.
к сожалению колдовство не пройдет. Здесь опять нужен физический доступ к машине.
работает он по 80 порту, поэтому и написали что через фаеры работает.
к сожалению колдовство не пройдет. Здесь опять нужен физический доступ к машине.
нет там другая схема.
каждый клиент устанавливает соединение с сервероми получает от него ID, когда мы хотим подключиться мы вводим этот ID и идет уже работа по _уже установленному каналу_, возможно идет трафик через удаленный сервер или канал переводится на наш клиент, хз, но суть в том что основной фишкой называется работа через НАТ без проброса портов
каждый клиент устанавливает соединение с сервероми получает от него ID, когда мы хотим подключиться мы вводим этот ID и идет уже работа по _уже установленному каналу_, возможно идет трафик через удаленный сервер или канал переводится на наш клиент, хз, но суть в том что основной фишкой называется работа через НАТ без проброса портов
Вот описание
Алгоритм работы следующий:
1. Запускаем программу. Ее модуль DinGate подключается к серверу и получает ID. Если верить разработчикам, ID генерируется на основе характеристик железа и проверяются на серверах TeamViewer перед каждым подсоединением, что исключает возможность генерации ложных идентификаторов. Пароли для сессии подсоединения изменяются при каждом подключении DinGate к серверу (при использовании TeamViewer Host пароль можно задать постоянным)
2. Связываемся с тем, с кем хотим удаленно поработать и узнаем его ID и пароль (или же говорим свои в случае помощи вам).
3. Вводим ID и нажимаем «Connect to Partner», вводим пароль.
Т.е пользователь должен сообщить ID и пароль который он получит на свой комп. Нет этих данных - нет работы. Либо Вы сами должны прейти и посмотреть их.
Т.е Вам опять нужен физический доступ к машине. Но тогда можно придти и снести фаер.
Программа эта из разряда «установи и работай». К условиям работы программы относятся ее наличие на всех машинах, которыми мы хотим управлять или демонстрировать работу, и подключение к интернету. Соединение ведется с помощью http-туннелирования и осуществляется через сервера TeamViewer (с успехом обходя фаерволы). Никакие порты для работы TeamViewer дополнительно открывать не требуется, наличие внешнего адреса тоже. Хотя программа умеет и напрямую соединяться, если есть такая возможность (но без интернета все равно не обойтись, т.к. ID присваивается при наличии связи с сервером TeamViewer).
Алгоритм работы следующий:
1. Запускаем программу. Ее модуль DinGate подключается к серверу и получает ID. Если верить разработчикам, ID генерируется на основе характеристик железа и проверяются на серверах TeamViewer перед каждым подсоединением, что исключает возможность генерации ложных идентификаторов. Пароли для сессии подсоединения изменяются при каждом подключении DinGate к серверу (при использовании TeamViewer Host пароль можно задать постоянным)
2. Связываемся с тем, с кем хотим удаленно поработать и узнаем его ID и пароль (или же говорим свои в случае помощи вам).
3. Вводим ID и нажимаем «Connect to Partner», вводим пароль.
Т.е пользователь должен сообщить ID и пароль который он получит на свой комп. Нет этих данных - нет работы. Либо Вы сами должны прейти и посмотреть их.
Т.е Вам опять нужен физический доступ к машине. Но тогда можно придти и снести фаер.
вот я и говорю, что придется поколдовать чтобы узнать этот параметр
Я знаю директора который поступил проще, у каждого на компе должен стоять radmin/vnc и чтобы директор мог зайти в любой момент и посмотреть, елси радмин не работает- сначала разбирается с техниками, если они говорят что все хорошо, то сотрудник получает штраф
Предлагаю взять ноутбук с Вендой, настроить её на выполнение задачи, и собраться в каком-нибудь заведении (желательно, чтоб выпивать там можно было). И коллективно выполнять две задачи:
1. Постановка защиты;
2. Обход этой защиты.
Как вам, народ?
1. Постановка защиты;
2. Обход этой защиты.
Как вам, народ?
эм... челлендж что ль?
Shreder писал(а)
p.s. модерам. тема не очень серьезная, для технотусы вполне подходит, то там народу меньше
p.s. модерам. тема не очень серьезная, для технотусы вполне подходит, то там народу меньше
Да нет, тема вполне серьёзна.
Так и будем на форуме её обмусоливать?
Может, всё же в заведении?
Я проектор дам.
Дайте кто-нить ноут?
Может, всё же в заведении?
Я проектор дам.
Дайте кто-нить ноут?
одним ноутом не обойдемся. PDC еще нужен.
Обойдёмся, если виртуальные машины поднять :-)
Ноут хороший нужен.
Ноут хороший нужен.
на сколько хороший?
Чтоб его проц поддерживал виртуализацию.
ну хз
athlon neo MV-40 держит
athlon neo MV-40 держит
То есть ты даёшь ноут, на котором поставлено на вертухайных машинах:
1. DC.
2. Машина, являющаяся (кто бы мог подумать) членом этого DC.
Все нужные учётные записи созданы, политики настроены?
1. DC.
2. Машина, являющаяся (кто бы мог подумать) членом этого DC.
Все нужные учётные записи созданы, политики настроены?
олололо
речь вроде шла только о ноуте, нээ?
речь вроде шла только о ноуте, нээ?
Elesin 29.01.2010 в 21:20:14
Так и будем на форуме её обмусоливать?
Может, всё же в заведении?
Я проектор дам.
Дайте кто-нить ноут? ¶
Так и будем на форуме её обмусоливать?
Может, всё же в заведении?
Я проектор дам.
Дайте кто-нить ноут? ¶
Хорошо.
С меня - проектор.
С тебя - ноут.
С кого-то ещё - настройка "среды" на ноуте :-)
С более другого чела - организация пьянки *зачёркнуто* встречи.
С меня - проектор.
С тебя - ноут.
С кого-то ещё - настройка "среды" на ноуте :-)
С более другого чела - организация пьянки *зачёркнуто* встречи.
не вопрос, НО надо будет сделать фул бэкап перед этим акронисом. и "куда-то" засыйвить))
жалко всё-таки лицуху настроенную семёрки))
жалко всё-таки лицуху настроенную семёрки))
У меня дома 3,5 терабайта свободного места.
Можно засейвить туда, но локально :-)
Можно засейвить туда, но локально :-)
))
окэ, я у вас припаркуюсь
окэ, я у вас припаркуюсь
Была у меня такая тема. Пользователь - зам. директора, причем протекция от вице-президента компании. В общем это вам не "прийти и в бубен дать" и флэшки не отключить. Бывший IT-специалист кстати. К нему политики не применялись, уж не стал выяснять как именно он это делал. По моему просто права на admin$ шары поменял.
Боролся просто - через скрипт логина, который в первых строках менял пароль локального админа, а дальше через sfc восстанавливал права, менял права на нужные мне, правил реестр, выкидывал лишнее из автозагрузки и т.д. В политике потушил файрволы, таск-менеджер, принудительно включил терминальный доступ. Все это довольно быстро отрабатывало кроме sfc. Естественно после пары перезагрузок он просек фишку и начал обороняться: снова сбросил пароль админа, поставил nncron, начал глушить процессы типа радмина каждую секунду. Ну снова через скрипт логина пришлось избавлять от ннкронов и т.п. Потом как то резко с ним пообщались и нашли компромисс, хотя пришлось делать вид, что это санкционировано СБ-шниками и вообще мы просто настраиваем политику. Проникся, вроде больше не параноит.
Боролся просто - через скрипт логина, который в первых строках менял пароль локального админа, а дальше через sfc восстанавливал права, менял права на нужные мне, правил реестр, выкидывал лишнее из автозагрузки и т.д. В политике потушил файрволы, таск-менеджер, принудительно включил терминальный доступ. Все это довольно быстро отрабатывало кроме sfc. Естественно после пары перезагрузок он просек фишку и начал обороняться: снова сбросил пароль админа, поставил nncron, начал глушить процессы типа радмина каждую секунду. Ну снова через скрипт логина пришлось избавлять от ннкронов и т.п. Потом как то резко с ним пообщались и нашли компромисс, хотя пришлось делать вид, что это санкционировано СБ-шниками и вообще мы просто настраиваем политику. Проникся, вроде больше не параноит.
vortex писал(а)
Боролся просто - через скрипт логина
Боролся просто - через скрипт логина
Я пробовал. Logon-скрипты не отрабатываются, если сильно захотеть. Работает.
Ну у меня был и запасной вариант. Суть сводится к тому чтобы пользователь САМ что-то запустил на своем компе с сетевой шары. У нас такое есть - корп. софт, которые все по ярлыку запускают. Думал если логин скрипт не отработает, придется подменять exe-шник, который делает что мне нужно. Ну вроде как не понадобилось.
Сделать такое действие необходимостью для нормальной работы ВСЕХ пользователей, и варианты всегда найдутся.
Сделать такое действие необходимостью для нормальной работы ВСЕХ пользователей, и варианты всегда найдутся.
А нафига с ним бороться то было? Ну пусть чем хочет, тем и занимается...
с помощью этой самодеятельности он установил себе на комп нелицензионного софта на пару десятков килобаксов. Меня это не устраивало, ибо у нас все лицензионное. А да, еще на него обновления автоматом не накатывались, а в это время бушевал какой то вирус. Тоже не устраивало никак.
Самодеятельность пресекается известными способами.
Ими же прикрывается своя задница.
Эти способы всем известны и много раз доказали свою эффективность.
Ими же прикрывается своя задница.
Эти способы всем известны и много раз доказали свою эффективность.
Данная тема посвящена исключительно технической реализации. Организационные моменты не рассматриваются. Не спорю, все можно сделать просто директивно и с помощью бумаг.
Кстати такие пользователи дают нехиллый бонус к скиллам по администрированию, буквально level up :) Для себя узнаешь много нового.
Кстати такие пользователи дают нехиллый бонус к скиллам по администрированию, буквально level up :) Для себя узнаешь много нового.
Ну в принцыпе при наличии свободного времени да, можно побороться...
Что касается темы, имеются конечно и программно-аппаратные средства защиты от НСД, но накладно это...
Что касается темы, имеются конечно и программно-аппаратные средства защиты от НСД, но накладно это...
ИМХО... Резюме
Описанный случай не имеет программного решения, по крайней мере в W2000 и 2003 с клиентами XP и 2000. С 2008, W7, вистой не работал.
Методы обхода предложенные мной и Колючим - примитивны и тупы, давно известные. Но сисадмины с головой найдут что в их описании есть брешь, которую можно закрыть. Это не панацея, а усложнение получение прав доменного администратора.
Перевод дискуссии в технические тонкости - это руководство для пользователя "Как усложнить жизнь админу".
Основное правило - это ограничение физического доступа, а это нормативные документы, "заваривание корпуса" и другая лабуда.
Описанный случай не имеет программного решения, по крайней мере в W2000 и 2003 с клиентами XP и 2000. С 2008, W7, вистой не работал.
Методы обхода предложенные мной и Колючим - примитивны и тупы, давно известные. Но сисадмины с головой найдут что в их описании есть брешь, которую можно закрыть. Это не панацея, а усложнение получение прав доменного администратора.
Перевод дискуссии в технические тонкости - это руководство для пользователя "Как усложнить жизнь админу".
Основное правило - это ограничение физического доступа, а это нормативные документы, "заваривание корпуса" и другая лабуда.
Shreder писал(а)
берет сидюк для сброса пароля админского, загружается с него
берет сидюк для сброса пароля админского, загружается с него
Запретить логон с консоли и по сети для локального админа ?
Топорный вариант )
Ставим TrueCrypt, шифруем системный раздел, пасс на загрузку сообщаем пользюку. Прыщавого кулхацкера по крайней мере отпугнет.
Ставим TrueCrypt, шифруем системный раздел, пасс на загрузку сообщаем пользюку. Прыщавого кулхацкера по крайней мере отпугнет.
А если просто нетбиос отключить? И не париться :-)
Если у юзера параноя, то можно подключиться через роутер и остаться в "законе".
И/или порты пробросить до соседнего компа, пусть зырят сколько угодно.
Яб ещё попытку сделал узнать админский пароль. Зачем его менять туда-сюда :-) хотя это смысла не имеет.
И/или порты пробросить до соседнего компа, пусть зырят сколько угодно.
Яб ещё попытку сделал узнать админский пароль. Зачем его менять туда-сюда :-) хотя это смысла не имеет.
Вообще, если есть такие подозрения - ставить камеры, сотрудника которого пойдмают уволить потом на*уй. Это вообще то нарушение информационной безопасности предприятия, и в некоторых случаях может закончится уголовным делом.
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
Последние темы форумов
Форум
Тема (Автор)
Ответов
Карта сайта | 18+
ООО «Сеть городских порталов»
© 1999 - 2025
Реклама на NN.RU +7 (831) 261-37-60, reklamann@shkulev.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@shkulev.ru
Реклама на NN.RU +7 (831) 261-37-60, reklamann@shkulev.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@shkulev.ru
Т.к. тема является архивной.