Безопасность в доменной локальной сети

[_max_max]

Добрый день, уважаемые форумчане!
Вот сижу за компьютером, который подключен к локальной сети и при этом еще входит и в домен. На машинке стоит файрволл для защиты от нежелательных вторжений. Но вот недавно заметил, что админ локальной сети без проблем может подключится к моему диску и при этом я ничего не замечу.
Возник вопрос, как максимально можно обезопасить ПК от нежелательного доступа?

[Intro]

Какой фаер стоит? В принципе если кто-то хочет подключиться к твоему компу по локалке фаер должен выдать сообщение с предупрежденим, а уж от того как ты на него ответишь и будет зависеть получит ли он доступ.

[wowa@grw]

1. мож так и нужно ? что бы админ получал доступ к твоему компу ? мож там у вас море компов - и он их удаленно админит ?
2. можно наслушаться всяких советов - и попытаться что то поделать (если есть права) - с последующим получением слонов от админа и урезанием прав (а тебе это надо ?)

если уж так приперло - не проще с админом поговорить ?

[_max_max]

Цитата: Сообщение от Саша_ Какой фаер стоит? В принципе если кто-то хочет подключиться к твоему компу по локалке фаер должен выдать сообщение с предупрежденим, а уж от того как ты на него ответишь и будет зависеть получит ли он доступ.

Стоит Outpoost. Фаерволл реагирует на активацию сокетов каким либо приложением. А здесь, как мне вкажется, речь идет об netbios.

[Zhlobny Hmur]

Цитата: Сообщение от _max_max здесь, как мне вкажется, речь идет об netbios

А оно тоже через порт TCP/IP гуляет. А кто, кстати, фаер ставил - админ? тогда он вполне мог открыть себе порт для удаленного администрирования.

З.Ы. У меня в доменах ползователям вообще запрещено устанавливать самопально что-либо... В результате системы не валются.

[_max_max]

Я так понял, что здесь собрались одни админы сети, а я еще им задаю вопрос о том как от вас установить защиту.
Буду рыться с настройками файрволла.

[Zhlobny Hmur]

Цитата: Сообщение от _max_max задаю вопрос о том как от вас установить защиту

Если админ с руками - тут ничего сделать нельзя будет. А в особо злостных случаях еще и по кумполю настучать могут!

[mikle]

Можно фаерволом закрыть все порты, через которые можно управлять машиной (что там... удаленный стол, mmc, File Sharing или отключить админские шары), но и тогда у админа останется два варианта: либо залогиниться на машине локально (и всенепременно по кумполю настучать © ;) ) либо изменить настройки с помощью логон-скрипта (вроде бы его фаерволом никак не убьешь ;) ) Ну это ведь вполне логично, админ домена может делать с доменными машинами все что угодно, однако модель безопасности Windows не позволит ему скрыть свои действия. Если же стоит вопрос об обмене информацией, которую админ видеть не имеет права, то единственный выход - использовать шифрование, причем не штатное виндусовское ессно. Запароленный архивчик винрара, например ;)

оффтоп

Подумал, как бы я отреагировал, если б мои пользователи начали пытаться от меня фаерволами закрываться... стало смешно )

[miusov]

Оно то, канешно, смешно - если не так горько
Администраратор администратору рознь. А вот если у человека нет элементарной совести и он подсматривает за тобой как в замочную скважину.
Я за администрирование как таковое, двумя руками, но против грязного и бесстыдного подсматривания. Типа Radmina.
Нахожусь в локалке в рабочей группе, отсюда вопрос: может ли админ оперативно с сервера переключать меня с р. группы на домен и обратно. И как это можно отслеживать?

[_max_max]

Цитата: Сообщение от mikle ...либо изменить настройки с помощью логон-скрипта... [/cut]

А что это такое и с чем его едят?

Добавлено через 2 минуты

Цитата: Сообщение от miusov ... может ли админ оперативно с сервера переключать меня с р. группы на домен и обратно...

Сидя локально за своим компом без всяких троянов, типа радмина, не может.

[Vanyan]

Radmin троян? ) прикололись. Подумайте зачем нужен админ? и как вы его сможете обмануть, если с любым вопросом вы бежите к нему? Сделать вы ничего не сможете, только если отключитесь от сети и будете работать на машине локально. На счёт честности админа, скорее всего это ваше воображение + почитайте польтику безопасности компании, если таковой нет обратитель к директору чтоб образумить админа.

[_max_max]

Цитата: Сообщение от Vanyan Radmin троян? )

Да, радмин принадлежит к классу троянов! Для тебя это новость?

Спасибо всем кто обратил внимание на данный топик!
Понял, что если машинка в домене, то об ни какой конфинденциальности не может идти речь.
Наверное единственный способ - выйти с домена.

[BeckManos]

Цитата: Сообщение от _max_max единственный способ - выйти с домена

забрать машину домой июзать никому не показывая что.

[Avrely]

Цитата: Сообщение от _max_max Да, радмин принадлежит к классу троянов! Для тебя это новость? Спасибо всем кто обратил внимание на данный топик! Понял, что если машинка в домене, то об ни какой конфинденциальности не может идти речь. Наверное единственный способ - выйти с домена.

Если РАдмин установлен и настроен грамотно, то его сложно заметить пользователю, особенно с неполными правами. Я в своей сети его тоже использую. Иногда нет возможности сбегать в соседнее здание, чтобы исправить ошибку пользователя.

А если хочешь сидеть инкогнито - вынимай сетевой кабель из разьема и будешь невидим.

[mikle]

Цитата: Администраратор администратору рознь. А вот если у человека нет элементарной совести и он подсматривает за тобой как в замочную скважину. Я за администрирование как таковое, двумя руками, но против грязного и бесстыдного подсматривания. Типа Radmina.

В домовой сети что ли домен? Так он там не нужен совершенно. А если на предприятии, то тут действия и администратора и пользователей должны полностью регламентироваться политикой предприятия. И если руководство очень не хочет, чтобы на рабочих местах играли в "косынку", то у него есть все инструменты, чтобы этого добиться

Цитата: Сообщение от miusov Нахожусь в локалке в рабочей группе, отсюда вопрос: может ли админ оперативно с сервера переключать меня с р. группы на домен и обратно.

Для того чтобы присоединить машину к домену нужны права локального администратора на этой машине. И, в любом случае, для этого требуется перезагрузка.

Цитата: Сообщение от _max_max А что это такое и с чем его едят?

Последовательность действий, которые администратор может запрограммировать для каждого члена домена и которые будут выполняться при каждом входе в домен. Едят с помощью консоли Active Directory Users and Computers на контроллере домена.

Цитата: Сообщение от _max_max Да, радмин принадлежит к классу троянов! Для тебя это новость?

Строго говоря, не принадлежит, ибо сам по себе не рапространяется и на компьютеры не проникает просто средство для удаленного администрирования.