Как спастись от мониторинга???

[Владимир ВВ]

Плиз, подскажите как мне заблокировать доступ к машине для "посторонних"
У меня на работе Ведут контроль за машынами, внутри сети (мониторинг)
Как бы его прикрыть, (я имею права админа).

 

[Veda]

1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета!

 

[Владимир ВВ]

1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета!

Тему не дублировал!!!
На реакцию посмотрим. Самому интересно.
А с остальным попробуем!!!

 

[Painted]

Если ты в домене, то полезно
1. Вырубить службу "Удаленный реестр"
2. Из локальных групп из группы Администраторы выбросить группу Администраторы домена
3. В реестре AutoShareWks=0, AutoShareServer=0 (убираются шары типа C$, ADMIN$)

 

[holgers]

Самый простой вариант что-бы тебя не отслеживали - отключить сетку!!!!!!

 

[Владимир ВВ]

А есть ли такая прога которая показывает, что в данный момент за компом следят (мониторят)???

 

[Painted]

netstat -a, если немножко разбираешься в протоколах и портах. ))

 

[Владимир ВВ]

А чтото проще есть типа Сигнального значка(Мониторят - не мониторят).

 

[Veda]

Фаер, например Outpost.
Можно выяснить что, кто, откуда и каким образом мониторит (это же можно сделать средствами системы, но фаером проще, на мой взгляд), далее создаются правила позволяющие мониторить, но как только они отрабатывают будет видно предупреждение. Либо можно можно изголиться что мониториться будет только то, что позволено

Либо можно это сделать средствами сниффера, что вообщем то правильней - так как это прямое назначение снифферов. Я бы рекомендовал либо ethereal, либо CommView, но в отличии от фаера сниффера предоставляют лишь гибкую (более гибкую чем фаер) систему мониторинга, а с помощью фаера можно и закрыть нежелательный мониторинг, либо обрубить его в нужный момент - типа "ой, пропало, отвалилось, упало...".

Можно пользоваться и тем и тем вместе, ко всему прочему это даст массу полезных знаний в области сетей, сетевых протоколов и не только...

 

[zten.murof]

если SNMP инсталирован, то все предыдущие советы не пригодятся.

сам вопрос потеме поставлен не совсем корректно.
что значит "мониторят"? или снимают скриншоты или следят за транзакциями. или следят просто за активностью в сети.
хз.

вместо того, чтобы ставить FW, можно просто включить и настроить штатный security audit и просматривать в эвентлогах, кто чего делал с компом (из сети или просто руками).
и еще... от прослушивания портов на ws НИЧТО не поможет.
а порты (в сети) открывать придется по любому.

 

[Veda]

Вот по поводу просмотра аудита дельное замечание!

Что касаемо SNMP, как я уже и говорил выше

4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем

SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...

 

[zten.murof]

Veda

Что касаемо SNMP, как я уже и говорил выше

4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем

SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...

По большому счету Ваши рекомендации профессиональны и почти исчерпывающи.
Вы все правильно сказали. но не учли одно и весьма существенное "но".
То, что "кажется" юзеру "лишними службами" могут иметь ключевое функциональное значение в сети (или домене - это как организована сеть...)
например: (на вскидку что первое на ум пришло) возьмем самую безобидную, "кажующуюся лишней" любому юзеру службу по 123 порту.
закрываем порт (переводим соответствующую службу в мануал или дисэйбл). В результате постепенно накапливается временное смещение между метками транзакций по... консолидации платежного баланса по филиалам банка. а машинка старая. а в симосе кмоп с повышенной затворной утечкой. в результате через пару дней времечко у вас отстанет (успешит) и вам произойдет вливание по полной от начальства. (кстати, реальный случай).
я уж не говорю об остальных службах, очень мало понятных юзеру (пусть даже с админскими правами).
не сочтите за флейм, но вопрос "мониторинга" в сети плавно переходит в вопрос философский. что считать монитором. а на кой хер нужен юзер в домене с полностью закрытыми портами. (даже теми которые требуются при аутентификации на сервере)

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.
рассказать как?

P.S. вообще, странно рассуждать на некорректно поставленную тему. автор так и не определился, что он имел в виду под словом "мониторят".

 

[Veda]

Это верно подмечено...

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить

Да уж сам как-нибудь соображу

 

[Painted]

Veda
просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.

А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?

 

[zten.murof]

Painted
А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?

а вы свою сеть организовали на стандарте 100Base-TX?
я вам сочувствую. нормальные люди строят на 100Base-T4. а там как известно ДВЕ пары двунаправленных проводов (помимо двух однонаправленных).
ну да ладно. пусть вы перекусили "обратку" как вы выразились.
шо делаем мы.
конечно же мы обтбрасываем вышележащие протоколы IP IPX и спускаемся на уровень ethernet. в частности на подуровень LLC кадр которого как известно вкладывается в кадр MAC.
нас интересеут расширение кадра LLC - SNAP.
в поля DSAP и SSAP мы записывааем значение AA (в миру 10 10) тип кадра -03, следующие 4 байта пишем так идентификатор организации (OUI) по нулям (00) а последний байт пишем 0800
дальше лезем на физический уровень в частности на подуровень reconciliation sublaver и подуровень PHY, которые передает данные в регистр управления (CR) и регистр статуса (SR).
угу. читаем. там написано transmit error.
тааак. кто-то переграз провод "обратки".
потом идем к хабу и смотрим: епта, лампочка погасла! это значит, что хто-то перегрыз провод обратки и боится быть обнаруженным, слушая ВСЮ сеть всего лишь двумя проводами. смотрим по кабелю - а хто эта подключен к этому порту?
и вытаскиваем вас на свет божий. приговаривая "никуда не спрячешься от нас, проклятый хакер!"

sapienti sat

 

[zten.murof]

смайликов забыл поналепить

 

[Evgenka]

Граждане, помогите!!!
Директор установил всем на фирме на компы программку, которая делает скриншоты, в принципе ничего смертельного, но неприятно!
Может кто-нибудь посоветует что-нибудь для борьбы с этим явлением.
Причем порга ента стоит в автозагрузке и стоит только ее отрубить, как босс явится через надцать минут выяснять почему он меня не видит через эту программку, стоящую у него на компе.

 

[Evgenka]

Если нужно, то могу и саму программу выложить. ScanClient называется.

 

[Painted]

Лепить вручную Ethernet пакеты... Такого я еще не видел. А чем это делается? ТСР\IP пакет можно слепить любым продвинутым сниффером.
Пропускной способности tx нам хватает. Все равно узкое место - это сервера приложений.

 

[freemem]

Есть-ли возможность узнать что за софт установлен? Уверен надо плясать от этого.