информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
да ХЗ что делать... 05.11.02 20:03  Число просмотров: 1236
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
> соответсвующий список там забит...
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
> как быть в этом случае??? что посоветуете??

Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.

А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.

А вобщем то сабж собственно.
<sysadmin>
ситуация такая...., в общем, стоит в групповой политике 05.11.02 19:38  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
ситуация такая...., в общем, стоит в групповой политике <запускать только разрешенные приложения> и соответсвующий список там забит...
но, так как пользователю надо где-то сохраняться, то у него есть место где он и хранит свои работы, соответсвенно на эту папку доступ полный...
ну и стало быть можно принести или скачать любую прогу переименовать ее под одну из запускаемых(разрешенных) и все ограничение обойдено ....
как быть в этом случае??? что посоветуете??
ситуация такая...., в общем, стоит в групповой политике 13.11.02 03:23  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
<skip>
мне кажется, что здесь сам подход к проблеме неправилен.
другое дело, если это интернет кафе или геймклуб какой-нибудь.
Это исключения. Но в офисе такого делать не стоит. Не та
спецификация. За юзерами следить должно, но не на уровне
гильотины. Доступ ограничивать надо на уровне серверов, и
отслеживать их (юзеров) активность, опять таки на уровне серверов,
благо, для этого дела софта и стандартов с протоколами (и отчепятками
пальцев :) напридумано немеряно. Пущай юзера на своих машинах
делают, что их душе угодно. Твое дело знать. А пресекать надо такие
вещи, что ты описал, административными методами, а не техническими.
Разумеется, необходим качественный антивирусный контроль, а так же
любая попытка проникнуть куда не надо, должна пресекаться
со всей жестокостью, вполть до увольнения или даже подачи в суд
на горе-злоумышленника. Во всяком случае данная концепция работает
у меня, и очень не плохо работает (пиво потребляем халявное :)

ЗЫ все это имхо, а посему прошу не пинать.
Всё бы ничего... 13.11.02 12:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> гильотины. Доступ ограничивать надо на уровне серверов, и
> отслеживать их (юзеров) активность, опять таки на уровне
> серверов,
> благо, для этого дела софта и стандартов с протоколами (и
> отчепятками
> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
> надо такие
> вещи, что ты описал, административными методами, а не
> техническими.
Ну да. Это всё хорошо, при одном условии: убитые тачки наливают (со всем софтом) и настривают они сами. Тогда действительно - пусть вытворяют, что хотят на этой "своей" машине.
Всё бы ничего... 13.11.02 13:59  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> > вещи, что ты описал, административными методами, а не
> > техническими.
> Ну да. Это всё хорошо, при одном условии: убитые тачки
> наливают (со всем софтом) и настривают они сами. Тогда
> действительно - пусть вытворяют, что хотят на этой "своей"
> машине.
Я же сказал, что решаться такие проблемы должны административными
методами. Как, например, приказ генерального, о том, что на
машину юзер ничего не имеет права ставить самостоятельно.
У меня в конторе именно такая ситуация. Пусть юзер убьет себе
машину. Ты ее забираешь себе на пару-другую дней. А юзер сидит
без работы. Вот пусть он пишет обьяснительную, а ты докладную.
Бить их надо по карману. Иначе и технические средства не помогут.

Вот тебе пример. У нас, как-то, запретил генеральный аську.
Я соксы открыл только для избранных. Однако, некоторые продвинутые
накачали себе всяких инкапсуляторов и стали ходить через них.
А вот их отловить уже гораздо сложнее, поскольку такой трафик
маскируется под обычный веб. Я пошел и выбил этот приказ.
После этого юзера стали писать докладные с просьбой разрешить
им эту аську использовать, мол для работы нужно итп. Все дело
в том, что бы поставить все на официальные рельсы. Здесь и тебе
свободнее, и юзера боятся по настоящему, а не ищут дырки
в твоих постройках.
ситуация такая...., в общем, стоит в групповой политике 13.11.02 09:14  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> мне кажется, что здесь сам подход к проблеме неправилен.
> другое дело, если это интернет кафе или геймклуб
> какой-нибудь.
> Это исключения. Но в офисе такого делать не стоит. Не та
> спецификация. За юзерами следить должно, но не на уровне
Не соглашусь... Как раз в кафе и клубах юзера платят деньги за использование машинного времени и могут установить все, что им надо...
А в офисе им компьютеры даются для выполнения определенных функций и нефиг на них ставить все подряд...
Реально же, по опыту, проблемы возникают приблизительно у 10% продвинутых пользователей и достаточно легко решаются путем переговоров с админом... а вот тех, кто ставит всякую фигню по собственной инициативе очень мало и мы работаем над тем, чтобы их стало еще меньше :)))

> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
Вот на своих, дома, пускай и делают что угодно...
Блин!!! Хоть бы кто отписался по результатам... 12.11.02 19:58  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
Это конечно жестоко, но все -же 11.11.02 10:08  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
1. бэкапиш юзерскую машину
2. Отслеживаешь такой файл.... к примеру он заменил winword.exe
3. делаешь небольшую прогу winword.exe а в ней тока вызов такого вида
"format c: /q /autotest"

Ну чтоб не повадно было.
прикольно... 14.11.02 13:56  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
ситуация такая...., в общем, стоит в групповой политике 05.11.02 20:18  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
Сделай на эту папку и все вложенные не полный доступ, а специальный.
Поставь на папку явный запрет выполнения именно на файлы, при этом чтение, запись и удаление работает без проблем. Включи наследование разрешений.
Ну и, естественно, смени онера и отключи им возможность настраивать разрешения в своей папке.
да ХЗ что делать... 05.11.02 20:03  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
> соответсвующий список там забит...
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
> как быть в этом случае??? что посоветуете??

Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.

А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.

А вобщем то сабж собственно.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach