Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
ситуация такая...., в общем, стоит в групповой политике 13.11.02 09:14 Число просмотров: 1184
Автор: StR <Стас> Статус: Elderman
|
> мне кажется, что здесь сам подход к проблеме неправилен.
> другое дело, если это интернет кафе или геймклуб
> какой-нибудь.
> Это исключения. Но в офисе такого делать не стоит. Не та
> спецификация. За юзерами следить должно, но не на уровне
Не соглашусь... Как раз в кафе и клубах юзера платят деньги за использование машинного времени и могут установить все, что им надо...
А в офисе им компьютеры даются для выполнения определенных функций и нефиг на них ставить все подряд...
Реально же, по опыту, проблемы возникают приблизительно у 10% продвинутых пользователей и достаточно легко решаются путем переговоров с админом... а вот тех, кто ставит всякую фигню по собственной инициативе очень мало и мы работаем над тем, чтобы их стало еще меньше :)))
> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
Вот на своих, дома, пускай и делают что угодно...
|
|
<sysadmin>
|
ситуация такая...., в общем, стоит в групповой политике 05.11.02 19:38
Автор: iokana <iokana jon> Статус: Member
|
ситуация такая...., в общем, стоит в групповой политике <запускать только разрешенные приложения> и соответсвующий список там забит...
но, так как пользователю надо где-то сохраняться, то у него есть место где он и хранит свои работы, соответсвенно на эту папку доступ полный...
ну и стало быть можно принести или скачать любую прогу переименовать ее под одну из запускаемых(разрешенных) и все ограничение обойдено ....
как быть в этом случае??? что посоветуете??
|
|
ситуация такая...., в общем, стоит в групповой политике 13.11.02 03:23
Автор: _lesha_ <lesha> Статус: Member
|
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
<skip>
мне кажется, что здесь сам подход к проблеме неправилен.
другое дело, если это интернет кафе или геймклуб какой-нибудь.
Это исключения. Но в офисе такого делать не стоит. Не та
спецификация. За юзерами следить должно, но не на уровне
гильотины. Доступ ограничивать надо на уровне серверов, и
отслеживать их (юзеров) активность, опять таки на уровне серверов,
благо, для этого дела софта и стандартов с протоколами (и отчепятками
пальцев :) напридумано немеряно. Пущай юзера на своих машинах
делают, что их душе угодно. Твое дело знать. А пресекать надо такие
вещи, что ты описал, административными методами, а не техническими.
Разумеется, необходим качественный антивирусный контроль, а так же
любая попытка проникнуть куда не надо, должна пресекаться
со всей жестокостью, вполть до увольнения или даже подачи в суд
на горе-злоумышленника. Во всяком случае данная концепция работает
у меня, и очень не плохо работает (пиво потребляем халявное :)
ЗЫ все это имхо, а посему прошу не пинать.
|
| |
Всё бы ничего... 13.11.02 12:45
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> гильотины. Доступ ограничивать надо на уровне серверов, и
> отслеживать их (юзеров) активность, опять таки на уровне
> серверов,
> благо, для этого дела софта и стандартов с протоколами (и
> отчепятками
> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
> надо такие
> вещи, что ты описал, административными методами, а не
> техническими.
Ну да. Это всё хорошо, при одном условии: убитые тачки наливают (со всем софтом) и настривают они сами. Тогда действительно - пусть вытворяют, что хотят на этой "своей" машине.
|
| | |
Всё бы ничего... 13.11.02 13:59
Автор: _lesha_ <lesha> Статус: Member
|
> > вещи, что ты описал, административными методами, а не
> > техническими.
> Ну да. Это всё хорошо, при одном условии: убитые тачки
> наливают (со всем софтом) и настривают они сами. Тогда
> действительно - пусть вытворяют, что хотят на этой "своей"
> машине.
Я же сказал, что решаться такие проблемы должны административными
методами. Как, например, приказ генерального, о том, что на
машину юзер ничего не имеет права ставить самостоятельно.
У меня в конторе именно такая ситуация. Пусть юзер убьет себе
машину. Ты ее забираешь себе на пару-другую дней. А юзер сидит
без работы. Вот пусть он пишет обьяснительную, а ты докладную.
Бить их надо по карману. Иначе и технические средства не помогут.
Вот тебе пример. У нас, как-то, запретил генеральный аську.
Я соксы открыл только для избранных. Однако, некоторые продвинутые
накачали себе всяких инкапсуляторов и стали ходить через них.
А вот их отловить уже гораздо сложнее, поскольку такой трафик
маскируется под обычный веб. Я пошел и выбил этот приказ.
После этого юзера стали писать докладные с просьбой разрешить
им эту аську использовать, мол для работы нужно итп. Все дело
в том, что бы поставить все на официальные рельсы. Здесь и тебе
свободнее, и юзера боятся по настоящему, а не ищут дырки
в твоих постройках.
|
| |
ситуация такая...., в общем, стоит в групповой политике 13.11.02 09:14
Автор: StR <Стас> Статус: Elderman
|
> мне кажется, что здесь сам подход к проблеме неправилен.
> другое дело, если это интернет кафе или геймклуб
> какой-нибудь.
> Это исключения. Но в офисе такого делать не стоит. Не та
> спецификация. За юзерами следить должно, но не на уровне
Не соглашусь... Как раз в кафе и клубах юзера платят деньги за использование машинного времени и могут установить все, что им надо...
А в офисе им компьютеры даются для выполнения определенных функций и нефиг на них ставить все подряд...
Реально же, по опыту, проблемы возникают приблизительно у 10% продвинутых пользователей и достаточно легко решаются путем переговоров с админом... а вот тех, кто ставит всякую фигню по собственной инициативе очень мало и мы работаем над тем, чтобы их стало еще меньше :)))
> пальцев :) напридумано немеряно. Пущай юзера на своих
> машинах
> делают, что их душе угодно. Твое дело знать. А пресекать
Вот на своих, дома, пускай и делают что угодно...
|
|
Блин!!! Хоть бы кто отписался по результатам... 12.11.02 19:58
Автор: StR <Стас> Статус: Elderman
|
|
|
|
Это конечно жестоко, но все -же 11.11.02 10:08
Автор: Step <Step Alex> Статус: Member
|
1. бэкапиш юзерскую машину
2. Отслеживаешь такой файл.... к примеру он заменил winword.exe
3. делаешь небольшую прогу winword.exe а в ней тока вызов такого вида
"format c: /q /autotest"
Ну чтоб не повадно было.
|
| |
прикольно... 14.11.02 13:56
Автор: iokana <iokana jon> Статус: Member
|
|
|
|
ситуация такая...., в общем, стоит в групповой политике 05.11.02 20:18
Автор: StR <Стас> Статус: Elderman
|
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
Сделай на эту папку и все вложенные не полный доступ, а специальный.
Поставь на папку явный запрет выполнения именно на файлы, при этом чтение, запись и удаление работает без проблем. Включи наследование разрешений.
Ну и, естественно, смени онера и отключи им возможность настраивать разрешения в своей папке.
|
|
да ХЗ что делать... 05.11.02 20:03
Автор: babay <Andrey Babkin> Статус: Elderman
|
> ситуация такая...., в общем, стоит в групповой политике
> <запускать только разрешенные приложения> и
> соответсвующий список там забит...
> но, так как пользователю надо где-то сохраняться, то у
> него есть место где он и хранит свои работы, соответсвенно
> на эту папку доступ полный...
> ну и стало быть можно принести или скачать любую прогу
> переименовать ее под одну из запускаемых(разрешенных) и все
> ограничение обойдено ....
> как быть в этом случае??? что посоветуете??
Первым делом конечно установи запрет на записть в реестр, пусть эта прога, если её надо писать в реестр, отсосет, как бы она не называлась ключи-то у неё свои без них она никак. Конечно, если в реест ей писать не надо, сложнее.
А вообще, такие вещи надо кроме запрета ещё и контролировать, уделенно в онлайн или через логи - это может прояснить ситуацию при разборе полетов, нормально настроенные логи на нормально настроенном серваке сложно обойти, любое обращение к тому что узер притащил будет видно.
А вобщем то сабж собственно.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
