1. бэкапиш юзерскую машину
2. Отслеживаешь такой файл.... к примеру он заменил winword.exe
3. делаешь небольшую прогу winword.exe а в ней тока вызов такого вида
"format c: /q /autotest"
ситуация такая...., в общем, стоит в групповой политике <запускать только разрешенные приложения> и соответсвующий список там забит...
но, так как пользователю надо где-то сохраняться, то у него есть место где он и хранит свои работы, соответсвенно на эту папку доступ полный...
ну и стало быть можно принести или скачать любую прогу переименовать ее под одну из запускаемых(разрешенных) и все ограничение обойдено ....
как быть в этом случае??? что посоветуете??
ситуация такая...., в общем, стоит в групповой политике 13.11.02 03:23 Автор: _lesha_ <lesha> Статус: Member
> ситуация такая...., в общем, стоит в групповой политике > <запускать только разрешенные приложения> и <skip>
мне кажется, что здесь сам подход к проблеме неправилен.
другое дело, если это интернет кафе или геймклуб какой-нибудь.
Это исключения. Но в офисе такого делать не стоит. Не та
спецификация. За юзерами следить должно, но не на уровне
гильотины. Доступ ограничивать надо на уровне серверов, и
отслеживать их (юзеров) активность, опять таки на уровне серверов,
благо, для этого дела софта и стандартов с протоколами (и отчепятками
пальцев :) напридумано немеряно. Пущай юзера на своих машинах
делают, что их душе угодно. Твое дело знать. А пресекать надо такие
вещи, что ты описал, административными методами, а не техническими.
Разумеется, необходим качественный антивирусный контроль, а так же
любая попытка проникнуть куда не надо, должна пресекаться
со всей жестокостью, вполть до увольнения или даже подачи в суд
на горе-злоумышленника. Во всяком случае данная концепция работает
у меня, и очень не плохо работает (пиво потребляем халявное :)
ЗЫ все это имхо, а посему прошу не пинать.
Всё бы ничего...13.11.02 12:45 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> гильотины. Доступ ограничивать надо на уровне серверов, и > отслеживать их (юзеров) активность, опять таки на уровне > серверов, > благо, для этого дела софта и стандартов с протоколами (и > отчепятками > пальцев :) напридумано немеряно. Пущай юзера на своих > машинах > делают, что их душе угодно. Твое дело знать. А пресекать > надо такие > вещи, что ты описал, административными методами, а не > техническими. Ну да. Это всё хорошо, при одном условии: убитые тачки наливают (со всем софтом) и настривают они сами. Тогда действительно - пусть вытворяют, что хотят на этой "своей" машине.
Всё бы ничего...13.11.02 13:59 Автор: _lesha_ <lesha> Статус: Member
> > вещи, что ты описал, административными методами, а не > > техническими. > Ну да. Это всё хорошо, при одном условии: убитые тачки > наливают (со всем софтом) и настривают они сами. Тогда > действительно - пусть вытворяют, что хотят на этой "своей" > машине. Я же сказал, что решаться такие проблемы должны административными
методами. Как, например, приказ генерального, о том, что на
машину юзер ничего не имеет права ставить самостоятельно.
У меня в конторе именно такая ситуация. Пусть юзер убьет себе
машину. Ты ее забираешь себе на пару-другую дней. А юзер сидит
без работы. Вот пусть он пишет обьяснительную, а ты докладную.
Бить их надо по карману. Иначе и технические средства не помогут.
Вот тебе пример. У нас, как-то, запретил генеральный аську.
Я соксы открыл только для избранных. Однако, некоторые продвинутые
накачали себе всяких инкапсуляторов и стали ходить через них.
А вот их отловить уже гораздо сложнее, поскольку такой трафик
маскируется под обычный веб. Я пошел и выбил этот приказ.
После этого юзера стали писать докладные с просьбой разрешить
им эту аську использовать, мол для работы нужно итп. Все дело
в том, что бы поставить все на официальные рельсы. Здесь и тебе
свободнее, и юзера боятся по настоящему, а не ищут дырки
в твоих постройках.
ситуация такая...., в общем, стоит в групповой политике 13.11.02 09:14 Автор: StR <Стас> Статус: Elderman
> мне кажется, что здесь сам подход к проблеме неправилен. > другое дело, если это интернет кафе или геймклуб > какой-нибудь. > Это исключения. Но в офисе такого делать не стоит. Не та > спецификация. За юзерами следить должно, но не на уровне Не соглашусь... Как раз в кафе и клубах юзера платят деньги за использование машинного времени и могут установить все, что им надо...
А в офисе им компьютеры даются для выполнения определенных функций и нефиг на них ставить все подряд...
Реально же, по опыту, проблемы возникают приблизительно у 10% продвинутых пользователей и достаточно легко решаются путем переговоров с админом... а вот тех, кто ставит всякую фигню по собственной инициативе очень мало и мы работаем над тем, чтобы их стало еще меньше :)))
> пальцев :) напридумано немеряно. Пущай юзера на своих > машинах > делают, что их душе угодно. Твое дело знать. А пресекать Вот на своих, дома, пускай и делают что угодно...
Блин!!! Хоть бы кто отписался по результатам...12.11.02 19:58 Автор: StR <Стас> Статус: Elderman
1. бэкапиш юзерскую машину
2. Отслеживаешь такой файл.... к примеру он заменил winword.exe
3. делаешь небольшую прогу winword.exe а в ней тока вызов такого вида
"format c: /q /autotest"
Ну чтоб не повадно было.
прикольно...14.11.02 13:56 Автор: iokana <iokana jon> Статус: Member
> но, так как пользователю надо где-то сохраняться, то у > него есть место где он и хранит свои работы, соответсвенно > на эту папку доступ полный... > ну и стало быть можно принести или скачать любую прогу > переименовать ее под одну из запускаемых(разрешенных) и все > ограничение обойдено .... Сделай на эту папку и все вложенные не полный доступ, а специальный.
Поставь на папку явный запрет выполнения именно на файлы, при этом чтение, запись и удаление работает без проблем. Включи наследование разрешений.
Ну и, естественно, смени онера и отключи им возможность настраивать разрешения в своей папке.
да ХЗ что делать...05.11.02 20:03 Автор: babay <Andrey Babkin> Статус: Elderman
> ситуация такая...., в общем, стоит в групповой политике > <запускать только разрешенные приложения> и > соответсвующий список там забит... > но, так как пользователю надо где-то сохраняться, то у > него есть место где он и хранит свои работы, соответсвенно > на эту папку доступ полный... > ну и стало быть можно принести или скачать любую прогу > переименовать ее под одну из запускаемых(разрешенных) и все > ограничение обойдено .... > как быть в этом случае??? что посоветуете??
Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.
А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
