Произвол администатора
- Thread starter Tritex
- Start date
DastyEKS-2
Member
Ну а если админ имеет рутовые права на Вашей рабстанции?
Он просто подождет, когда откроете контейнер/флэшку - и он в дамках.....Ну а если админ имеет рутовые права на Вашей рабстанции?
Firewall спасет в таком случае
DastyEKS-2
Member
Well, за 5 лет админства еще ни один юзверь от меня фаяволом не закрылся... Что мешает средствами дОменного управления притушить фаявол-сервис и/или скорректировать рулы старт-апским скриптом? Фаявол у пользователя есть послеобеденное развлечение сис.админа...
Cepreu1010
Member
- Joined
- Aug 27, 2004
- Messages
- 5
- Reaction score
- 0
- Age
- 72
только один способ, по результатам этого топика: на работе только думать, все чертежи и расчеты делать на дом. компьютере и на работу приносить в бум. виде. Печально, но это почти так.
Явно кроется какое о НО здесь. К примеру знали что в пароле только цифры или только определнны цифри. Потому как насколько мне известно РАР позволяет пробовать 1 пароль в секунду. Вот и считайте количество комбинаций. =)
Господа, если такие страхи, попробуйте eToken от Aladdin!
Генерите key-pair в PGP. Указываете в PGP, что секретный ключ будет храниться на токене. Все. Секретный ключ удаляется из кейринга PGP и будет храниться на токене. Его оттуда уже не достать. НИКАК.
Даже если кейлоггером узнают PIN токена, все равно нужен будет физическй доступ к токену. Но это уже другая история. Это называется двухфакторная аутенфикация
Токен можно прицепить на связку с ключами и сувать в ЮСБ по надобности (ключи от квартиры-машины надеюсь никто на раб. месте никогда не забывал?.
Создаете PGP диск, шифруете его этим ключом. На NTFS можно смотировать полученный диск в какую нибудь невзрачную папку.
Диск подключаем-отключаем по мере надобности. Как говорится "защита временем". Наврятли получится "пропалить" монент когда подключается диск и на него сохраняются данные.
Генерите key-pair в PGP. Указываете в PGP, что секретный ключ будет храниться на токене. Все. Секретный ключ удаляется из кейринга PGP и будет храниться на токене. Его оттуда уже не достать. НИКАК.
Даже если кейлоггером узнают PIN токена, все равно нужен будет физическй доступ к токену. Но это уже другая история. Это называется двухфакторная аутенфикация
Токен можно прицепить на связку с ключами и сувать в ЮСБ по надобности (ключи от квартиры-машины надеюсь никто на раб. месте никогда не забывал?
.Создаете PGP диск, шифруете его этим ключом. На NTFS можно смотировать полученный диск в какую нибудь невзрачную папку.
Диск подключаем-отключаем по мере надобности. Как говорится "защита временем". Наврятли получится "пропалить" монент когда подключается диск и на него сохраняются данные.
zten.murof
Member
- Joined
- Jul 15, 2004
- Messages
- 34
- Reaction score
- 14
боюсь быть не модным, но вопрос - и что даст вам фаевол? если радмин переименовать в например сервисес.экзе и назначить 12xx порт? откроет как миленький.
и что даст вам фаевол, если при загрузке засунуть юэсби флешку с (например) эрд2003 и получить доступ к папкам юзера
и что даст вам фаевол если прикрутить снифер и слушать порты по тисипи (или чем и куда он там ходит на сервер)
и что дас вам фаевол, если делать снимки резидентной прогой (валом таких) с экрана через пару секунд и отсылать кому надо.
...продолжить дальше?
Tritex
если хотите получать качественные квалифицированные советы, то максимально точно описывайте ситуацию: какая ось на вашем компе, какая сеть у вас в офисе, куда за инетом ходить, где сервера, сколько и какие (желательно).
дальше - если ось то какая файловая система. кто имеет право настраивать сервисы и авторан.
в какой роли выступает админ (админ админу рознь есть системный, есть сетевой, есть система подчинений если это распределенная сеть с структурой доменной организацией и т.д)
есть еще пару вопросов, но они подчиненные ответам которые ты должен дать.
общие советы: ось (если NT, то на нтфс. вход по паролю не меньше 8 символов 3 знаковых групп (хэш еще никто не ломал). папки закриптовать
. пароль не забывать, а то всей инфе кирдык и никто тебе не поможет.
дальше - расшары все убрать. посмотреть в таск - чтобы не было лишних сервисов. лишнее все убить.
на всякий случай ось если NT пропатчить (хотя 2к уже не поддерживают...) это чтобы шибко умные не заломали эксплоитом.
уходя в уборную лочить комп.
этого в принципе почти достаточно.
остальные подробности в зависимости от твоей ситуации (см.выше)
и что даст вам фаевол, если при загрузке засунуть юэсби флешку с (например) эрд2003 и получить доступ к папкам юзера
и что даст вам фаевол если прикрутить снифер и слушать порты по тисипи (или чем и куда он там ходит на сервер)
и что дас вам фаевол, если делать снимки резидентной прогой (валом таких) с экрана через пару секунд и отсылать кому надо.
...продолжить дальше?
Tritex
если хотите получать качественные квалифицированные советы, то максимально точно описывайте ситуацию: какая ось на вашем компе, какая сеть у вас в офисе, куда за инетом ходить, где сервера, сколько и какие (желательно).
дальше - если ось то какая файловая система. кто имеет право настраивать сервисы и авторан.
в какой роли выступает админ (админ админу рознь есть системный, есть сетевой, есть система подчинений если это распределенная сеть с структурой доменной организацией и т.д)
есть еще пару вопросов, но они подчиненные ответам которые ты должен дать.
общие советы: ось (если NT, то на нтфс. вход по паролю не меньше 8 символов 3 знаковых групп (хэш еще никто не ломал). папки закриптовать
. пароль не забывать, а то всей инфе кирдык и никто тебе не поможет.
дальше - расшары все убрать. посмотреть в таск - чтобы не было лишних сервисов. лишнее все убить.
на всякий случай ось если NT пропатчить (хотя 2к уже не поддерживают...) это чтобы шибко умные не заломали эксплоитом.
уходя в уборную лочить комп.
этого в принципе почти достаточно.
остальные подробности в зависимости от твоей ситуации (см.выше)
Забавные советы все время слышу... утстановить, утстановить... во первых редко кому их юзеов дают право устанавливать))) во вторых елси бы я увидел какой-нибудь PGP диск... я бы его кильнул(если конечно без предупреждения установили) и пофиг, поскольку там может быть все что угодно, а я отвечаю за сеть и софт.
А сколько не защищайся все равно можно снять инфу если этот комп в твоей сети и ты админ(особенно если это сеть с AD, а ты админ домена....)
А сколько не защищайся все равно можно снять инфу если этот комп в твоей сети и ты админ(особенно если это сеть с AD, а ты админ домена....)
to reZon:
Поглядел бы я на того админа, который кильнул PGP диск с информацией по проекту на компе менеджера этого проекта
В настоящее время реальность такова, что админ, особенно в фирме по разработке ПО, больше не является богом и царем.
Поглядел бы я на того админа, который кильнул PGP диск с информацией по проекту на компе менеджера этого проекта
В настоящее время реальность такова, что админ, особенно в фирме по разработке ПО, больше не является богом и царем.
DastyEKS-2
Member
А на флэшке ли? Они достаточно спонтанно накрываются... Вот может быть носимый мини хард драйв - как считаете? 1-дюймовочку ессно с ЮСБ 2.0.
Использую сам винтик от ноута с переходником на усб 2.0, отличная штука, шустрый, один раз только удалось его угробить - подключил к компу где в усб было питание перепутано (ногами кто-то собирал комп), а так последним активно пользуюсь в течении года и никаких нареканий нету .., ну и еще один минус - много берет питания ..
резюмирую:
1. уволить админа ( если его вину можно доказать)
2.отключиться от компьютерной сети, если п.1 не выполнен - секретные
и важные вещи 9 составлющие коммерческую тайну) лучше выполнять на изолированных компах (!!!) или сетях с высоким уровня доверия, отключенных от глобальных публичных сетей.
3. завести внешнее устройство ( USB flash, USB2HDD и т.п.)
4. поставить софт для шифрования (например, PGP 8.0.3) и создать им контейнер,который мапиться как диск с правами только для себя
Выбрать длинный, сложный ключ-пароль.
5. делать регулярно бекап контейнера.
6. отслеживать входящие соединения/атаки по портам ( firewall outpost вполне подойдет).
1. уволить админа ( если его вину можно доказать)
2.отключиться от компьютерной сети, если п.1 не выполнен - секретные
и важные вещи 9 составлющие коммерческую тайну) лучше выполнять на изолированных компах (!!!) или сетях с высоким уровня доверия, отключенных от глобальных публичных сетей.
3. завести внешнее устройство ( USB flash, USB2HDD и т.п.)
4. поставить софт для шифрования (например, PGP 8.0.3) и создать им контейнер,который мапиться как диск с правами только для себя
Выбрать длинный, сложный ключ-пароль.
5. делать регулярно бекап контейнера.
6. отслеживать входящие соединения/атаки по портам ( firewall outpost вполне подойдет).
У нас тоже был такое случае, я сам админ, мне раза 2 сказали что кто то стер данных.
Лично я делал так(единственное требование это должно быть поднят AD):
Есть файл сервер для хранение инфу.
Создал GPO и в GPO настроил перенаправление My Doc к расшаренному папку который находится в сервере.
После аутен. юзера на сервере появиться папка My Documents а путь становиться такой: <server_name\SharedFolder\user_name\My Documents>
Что хорошо, даже админ хоть он Domain admin или Enterprise Admin не может открыть это гарантирована (если конечно папка не было создана заранее).
А если меня попросит начальство что бы я открыл My Doc юзера, то я сбрасываю пароль юзера и войду от имени юзера и все...
Если так сильно хочешь что то делать то найди пароль админа...
Лично я делал так(единственное требование это должно быть поднят AD):
Есть файл сервер для хранение инфу.
Создал GPO и в GPO настроил перенаправление My Doc к расшаренному папку который находится в сервере.
После аутен. юзера на сервере появиться папка My Documents а путь становиться такой: <server_name\SharedFolder\user_name\My Documents>
Что хорошо, даже админ хоть он Domain admin или Enterprise Admin не может открыть это гарантирована (если конечно папка не было создана заранее).
А если меня попросит начальство что бы я открыл My Doc юзера, то я сбрасываю пароль юзера и войду от имени юзера и все...
Если так сильно хочешь что то делать то найди пароль админа...