информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
да ХЗ что делать... 05.11.02 20:03  Число просмотров: 1099
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
> соответсвующий список там забит...
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
> как быть в этом случае??? что посоветуете??

Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.

А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.

А вобщем то сабж собственно.
<sysadmin>
ситуация такая...., в общем, стоит в групповой политике 05.11.02 19:38  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
ситуация такая...., в общем, стоит в групповой политике <запускать только разрешенные приложения> и соответсвующий список там забит...
но, так как пользователю надо где-то сохраняться, то у него есть место где он и хранит свои работы, соответсвенно на эту папку доступ полный...
ну и стало быть можно принести или скачать любую прогу переименовать ее под одну из запускаемых(разрешенных) и все ограничение обойдено ....
как быть в этом случае??? что посоветуете??
ситуация такая...., в общем, стоит в групповой политике 13.11.02 03:23  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
<skip>
мне кажется, что здесь сам подход к проблеме неправилен.
другое дело, если это интернет кафе или геймклуб какой-нибудь.
Это исключения. Но в офисе такого делать не стоит. Не та
спецификация. За юзерами следить должно, но не на уровне
гильотины. Доступ ограничивать надо на уровне серверов, и
отслеживать их (юзеров) активность, опять таки на уровне серверов,
благо, для этого дела софта и стандартов с протоколами (и отчепятками
пальцев :) напридумано немеряно. Пущай юзера на своих машинах
делают, что их душе угодно. Твое дело знать. А пресекать надо такие
вещи, что ты описал, административными методами, а не техническими.
Разумеется, необходим качественный антивирусный контроль, а так же
любая попытка проникнуть куда не надо, должна пресекаться
со всей жестокостью, вполть до увольнения или даже подачи в суд
на горе-злоумышленника. Во всяком случае данная концепция работает
у меня, и очень не плохо работает (пиво потребляем халявное :)

ЗЫ все это имхо, а посему прошу не пинать.
Всё бы ничего... 13.11.02 12:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> гильотины. Доступ ограничивать надо на уровне серверов, и
> отслеживать их (юзеров) активность, опять таки на уровне
> серверов,
> благо, для этого дела софта и стандартов с протоколами (и
> отчепятками
> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
> надо такие
> вещи, что ты описал, административными методами, а не
> техническими.
Ну да. Это всё хорошо, при одном условии: убитые тачки наливают (со всем софтом) и настривают они сами. Тогда действительно - пусть вытворяют, что хотят на этой "своей" машине.
Всё бы ничего... 13.11.02 13:59  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> > вещи, что ты описал, административными методами, а не
> > техническими.
> Ну да. Это всё хорошо, при одном условии: убитые тачки
> наливают (со всем софтом) и настривают они сами. Тогда
> действительно - пусть вытворяют, что хотят на этой "своей"
> машине.
Я же сказал, что решаться такие проблемы должны административными
методами. Как, например, приказ генерального, о том, что на
машину юзер ничего не имеет права ставить самостоятельно.
У меня в конторе именно такая ситуация. Пусть юзер убьет себе
машину. Ты ее забираешь себе на пару-другую дней. А юзер сидит
без работы. Вот пусть он пишет обьяснительную, а ты докладную.
Бить их надо по карману. Иначе и технические средства не помогут.

Вот тебе пример. У нас, как-то, запретил генеральный аську.
Я соксы открыл только для избранных. Однако, некоторые продвинутые
накачали себе всяких инкапсуляторов и стали ходить через них.
А вот их отловить уже гораздо сложнее, поскольку такой трафик
маскируется под обычный веб. Я пошел и выбил этот приказ.
После этого юзера стали писать докладные с просьбой разрешить
им эту аську использовать, мол для работы нужно итп. Все дело
в том, что бы поставить все на официальные рельсы. Здесь и тебе
свободнее, и юзера боятся по настоящему, а не ищут дырки
в твоих постройках.
ситуация такая...., в общем, стоит в групповой политике 13.11.02 09:14  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> мне кажется, что здесь сам подход к проблеме неправилен.
> другое дело, если это интернет кафе или геймклуб
> какой-нибудь.
> Это исключения. Но в офисе такого делать не стоит. Не та
> спецификация. За юзерами следить должно, но не на уровне
Не соглашусь... Как раз в кафе и клубах юзера платят деньги за использование машинного времени и могут установить все, что им надо...
А в офисе им компьютеры даются для выполнения определенных функций и нефиг на них ставить все подряд...
Реально же, по опыту, проблемы возникают приблизительно у 10% продвинутых пользователей и достаточно легко решаются путем переговоров с админом... а вот тех, кто ставит всякую фигню по собственной инициативе очень мало и мы работаем над тем, чтобы их стало еще меньше :)))

> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
Вот на своих, дома, пускай и делают что угодно...
Блин!!! Хоть бы кто отписался по результатам... 12.11.02 19:58  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
Это конечно жестоко, но все -же 11.11.02 10:08  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
1. бэкапиш юзерскую машину
2. Отслеживаешь такой файл.... к примеру он заменил winword.exe
3. делаешь небольшую прогу winword.exe а в ней тока вызов такого вида
"format c: /q /autotest"

Ну чтоб не повадно было.
прикольно... 14.11.02 13:56  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
ситуация такая...., в общем, стоит в групповой политике 05.11.02 20:18  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
Сделай на эту папку и все вложенные не полный доступ, а специальный.
Поставь на папку явный запрет выполнения именно на файлы, при этом чтение, запись и удаление работает без проблем. Включи наследование разрешений.
Ну и, естественно, смени онера и отключи им возможность настраивать разрешения в своей папке.
да ХЗ что делать... 05.11.02 20:03  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
> соответсвующий список там забит...
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
> как быть в этом случае??? что посоветуете??

Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.

А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.

А вобщем то сабж собственно.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach