Произвол администатора

[Ognev]

Tritex,
Outpost подойдет более чем, но imho он тебе совершено не нужен (ибо для защиты в локалке стены мало подходят). На крайняк, поставь в свойствах локального подключения галку "уведомлять при подключении" и в аудитах - ведение логов подключений. По крайней мере будешь знать, кто и когда к тебе ходит и отрубить подключение, если ты на месте.
А так, Msha тебе подсказал мудрый и самодостаточный для тебя способ - запароленный рар. Все остальное будет излишним извратом. Ну как вараинт еще - купи себе флешку и все ценное носи на ней.
Удачи.

 

[Vah]

есть такая вещь - pgp disk называется........ вот ее юзай и ничего у тебя воровать не будут........

 

[Tritex]

есть такая вещь - pgp disk называется........ вот ее юзай и ничего у тебя воровать не будут........

Можно подробней?

 

[okun]

PGP диск - программа шифрования. Принцип работы: на жестком диске создается файл-контейнер, содержащий зашифрованную информацию. При "монтировании" такого файла (требуется парольная фраза) в системе появляется доплнительный логический диск, который можно форматировать, записывать на него файлы и папки. Вся информация на этом диске зашифрована по криптостойким алгоритмам. При "размонтировании" такого диска логический диск исчезает из системы и информация на нем становится недоступной. Операция проходит практически мгновенно. См. http://pgp2all.org.ru/ и http://www.pgpi.org/.

Но что хочу сказать, без ограничения доступа к компьютеру из сети, все усилия по сокрытию и шифрованию информации могут оказаться тщетными.
Зашифрованная информация является защищенной, пока с ней никто не работаёт. Как только вводится пароль на открытие доступа к ней и начинается работа, информация становится видима не только хозяину, но и самой операционной системе, а значит и тому, кто имеет полные права на эту систему, т.е. Администратору. А возможностей у него при грамотном подходе очень много

 

[Chruntick]

И как вы собираетесь ставить Firewall, RAR, pgp? Права администратора есть?

И как вы собираетесь ставить Firewall, RAR, pgp? Права администратора есть? Программы приобретены легально, да? Есть лицензия? Программы должен ставить администратор, т.к. в случае чего ему и отвечать, в т.ч. и уголовно. Если сисадмин украл и передал кому-то ваш труд, значил он нарушил ваши авторские права, в этом направлении и действуйте. Для пассивной защиты в данном случае проще всего использовать USB-flash drive. Если у вас ноутбук - просите администратора поставить вам pgp-диск, но пароль к этому диску смените сами.

 

[Vah]

Chruntick, красиво сказал..... Тока вот есть такие вещи как креки, серийники и т.п. поищи в соседних форумах.....
Авторские права??? а где эти авторские права зафиксированны?? патенты может?...... может ещё чего?.... Допустим он сделал софтину какую..... В данном случае не запатентовал и о нем грубо говоря тока он и знает....... Вот беру и копирую я исходники и выпускаю ее...... И предеритесь теперь ко мне! Это Я писал и все! хоть разбейся Я!... и не виноват я что вы думаете идентично мне и что код идентичный........... А? что? ты писал? докажи! Я тут кучу времени перед монитором просидел! И ваще это ты у меня софт увел!...... Вот тебе разговор......
pgp имеет 2 фразы - 1-я это ключ, который хранится в файле и которые можно сравнить с salt´ом.... т.е. это часть фразы и 2-я - ваш пароль...... из этого генерится скрытый ключ по которому и происходит шифрование.......

Шары кстати можно закрыть в.ч. и системные (баксовые)........ Админ поставит, потом введешь свой пароль, сгенеришь себе ключ в файл (тока этот файл не проимей.... и вперед работать..... Кстать помоему пгп-диск по умолчанию блокирует сетевой доступ к своим логическим дискам........ т.е. "снаружи" не подберешься......

Я пользователь Unix - ко мне воопще никак не подберешься....... И пгп я тоже юзаю для некоторых вещей......... и пгп в юниксе - открытым кодом распространяется..... и не надо никаких лицензий.......... система надежная...... у меня ещё ниодин исходник не увели.......

 

[MiV26]

хорошо, что не на сетивом серваке туда то вообще ни чего не поставишь у юзера как правило прав нет на установку прог(эти вопросы решаемы... но будет конфликт с админом), можно да попросить админа поставить что то типа PGP или Steganos да и раром можно закрыть, ну до кучи админ и снифер клавишный поставит, хотя уж стоит наверно давно... храни те на флешке е сли разрешено их пользовать и с них работайте ну и файлофыми шрейдорами пользуйтесь. Ну и таких админов надо ловить и ....... а потом увольнять.

 

[E-van]

если есть права на установку софта - то поставь неск. прог по отловле шпионских программ (чтобы клавиатурные шпиЁны ловились), делаешь зачистку, потом пользуешься Steganos Security Suite (недавно тут пробегала свежая версия).
Но, конечно, оптимальный вариант - подловить вашего админа на этом деле, т.к. работать в таком режиме продуктивно невозможно.
Как это сделать? Ну.. тут много варинатов, в частности, "слить" ему дезу, а когда конкуренты зашевелятся реагируя именно на ту информацию которая была "слита" - тут - то ему под зад и наладить.

 

[Hunter]

Одно хочу чказать если админ захотел чго от компа юзера , то он этого добется. PGP поможет врядли, если админ обрезал профиль юзера под ноль.
Хотя не скрою может быть и админ немного нечестен, тогда вопрос зачем на фирме нечесный админ. Но в любом случае админ с минимальным набором извилин, и юзер изначально не равны в правах.

 

[GogaM]

Все эти разговоры хороши до тех пор, пока на машине не стоит что-то вроде RAdmin`а, а попробуешь его снести, получишь по шапке от админа, а с ним никакая защита не поможет. По определению дает полный доступ к системе.
Да, можно посмотреть подключения, ну и что это даст? Админ на то и админ, что может подключиться к любой машине при необходимости и получить полный доступ к системе. Попробуешь ставить шифрование, то же можешь получить по шапке, но уже от службы безопастности(все зависит от серьезности конторы). Так, что лучший вариант, это все таки, через администрацию(плохо это или нет, глухо или нет, но другого просто не вижу)

З.Ы. Повторюсь, все зависит от "серьезности" конторы где работаешь.

 

[polymorph]

Предлагаю такой вариант:
Во время работы отключаться от сети, я так понимаю что это не критично для работы. Когда нужен инет или сеть - сохраняемся, результаты в rar с паролем как рекомендовалось выше и подключаем заново сеть
Так себе вариан, конечно, но все же...

 

[Vega]

Огромное спасибо Всем. Так и сделаю. Поставлю Firewall и попрячу всё в РАР.
Только вот какой Firewall лудше поставить для работы в сети, или подойдёт Outpost?

я просто прозреваю, такого насоветовали офигеть, ты можеш подрабатывать уже вместо админа (еще бы посоветовали создать дмззон создать контролер домена поставить и тд ) возми крипто прогу (в конечном счете запакуй раром или носи с собой ) да запакуй все что хочеш, проблем, прог валом. а советы типа настрой фаервол и тд - несоветую, имхо админ за это денег имеет.

 

[Вукуб]

В виду жадности наших работодателей, в большинстве организаций СисАдмин еще , по совместительству, является администратором безопасности, поэтому чтобы информация осталась в тайне, существует простой способ, заархивировать ее с паролем и все, и пароль сделать не менее 10 символов)

 

[BadFiles]

Простых способов не существует. Надо чтобы автор обратился к специалисту лично и решил эту проблему

 

[Consigliere]

Вот тебе самые простые и довольно действенные методы.
Защитит даже от полу профи ...(осмелюсь предположить что даже от профи)
Затраты - примерно до 60 $

Метод №1Создать криптованный контейнер (BestCrypt) на от 3-х гигов размером ,запаролить паролем длинной от 30 символов (включая Регистр, цифры и специальные символы).
Пароль записать в txt фаил. Txt документ кинуть на флешку.
При вводе пароля на контейнер втыкаешь флешку, открываешь TXT документ и методом Copy&Past вводишь пароль.
Открыл контейнер, вытащил флешку с паролем.

Почему на флешке ? чтобы он не нашел пароль на твоей машине в твое отсутствие.
Почему Copy&Past?
1.Муторно набивать и запоминать пароль длинной от 30 символов длиннной.
2.В случае применения кейлогера твоим админом, это в какойто мере обезопасит тебя от простого логера, так как ты не набиваешь на клавиатуре пароль а просто делаешь Copy&Past.
В Логах стандартных кейлогерово выглядеть это будет примерно так

WinActiv - 'BestCrypt - Drive 'F:'' in Module : 'C:\PROGRAM FILES\JETICO\BESTCRYPT\BESTCRYPT.EXE';

WinActiv - '' in Module : Can not detect';

WinActiv - '111 - Блокнот' in Module : 'C:\WINDOWS\NOTEPAD.EXE';

WinActiv - '<Ctrl><c><Ctrl><V>

Более продвинутые кейлогеры умеют копировать в нужный момент буфер обмена.

В этом случае используем метод №2
Можно Создать криптованный контейнер (BestCrypt) на 1,5 гига размером и хранить его на отдельной флешке №1
(1,5 гига потому как самая большая флешка которую я видел была размером 2 гига, найдете больше - ваша радость)

Пароль к этому контейнеру также храните на другой (второй) флешке №2.
Также подключайте и отключайте флешку №2 с паролем ТОЛЬКО при активации контейнера. Открыл контейнер, вытащил флешку №2 с паролем.
Закончился рабочий день, выташили флешку №1 с криптованным контейнером и положили в сейф или забрали с собой.

Даже если в течении рабочего дня админ захочет украсть у вас контейнер с флешки вы сразуже это заметите по активности флешки и большому исходящему трафику.
При подозрении на несанкционированное копирование НЕМЕДЛЕННО программно отключайте контейнер (процесс займет не более 10 секунд) и извлейкаете флешку.
Меняйте пароль на контейнере раз в неделю и/или при подозрении на компромитацию.

Честно говоря вариантов ТАК много. В плоть до применения системы "Одноразового блокнота"
Но имеет смысл примять их только для действительно важной информации.
Не пароль же от Dial-up прятать на двух флешках.

Чем ценнее информация тем меньше доверия кому либо вообще.
Это вообще основа всего.

 

[garkv]

truecrypt - абс. бесплатен. Надежен как танк. Никаких админ райт - достаточно иметь права создавать файлы. Два пароля - первый раскрывается когда по мордам, второй когда паяльник. BestCrypt -> null.

 

[IvabS]

У меня как-то прога была интересная, которая в любой файл может скрыть любой другой файл, причём всё это можно запоролить. Файл в который прячется нужная вам информация не теряет функциональности, увеличивается только размер..Если интересно могу поискать эту прогу и расказать поподробнее..

 

[Shchep]

поставь "сейф" - это прога такая и храни там всю доку и никто не подберёт пароль и даже следа присутствия этих файлов на машине не обнаружит

 

[DastyEKS-2]

Уважаемые Сисадмины подскажите пожалуйса как уберечь инфу от администратора сети - ворует гад на благо конкурентов. :fai:

Предложение от бывшего админа:
1. На локальной станции получить права локального админа (прога есть в составе Winternals).
2. Исключить доменного админа из группы локальных админов
3. Поменять пароль локального админа
4. Выключить локальный сервис SERVER
5. Поставить PGP диск
6. Использовать сложные пароли типа Lf ghjckfdbncz bvz Hj;lthf Zyuf (Да прославится имя Роджера Янга)
7. Поменять биосовуй пароль и запретить загрузку с не жесткого диска.

PS> Не сочтите за флуд - это выстраданный опыт!

 

[Requiem]

Еще вариант:
Можно просто поставить пароль на сам жесткий диск на низком уровне(вообще функция будто скрыта, но такие проги как MHDD, например, умеют это делать).
Конечно, я не совсем доверяю такой защите данных(подозреваю, что пасс можно сбросить.... как в БИОСе, например), но если кто-то и сбросит пасс, то ты точно будешь знать, что можно бить рыло админу.
А вообще лучше сочитать даный метод с файлами-контейнерами на этом же диске.