Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
Не, а все просто. У всех отбираются права локального админа и говорится: 13.07.04 18:28 Число просмотров: 1781
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
"Вам нужна машина с локальным админом? Вот вам VMWare/VirtualPC/Bochs/UserModeLinux, и вперед."
|
<site updates>
|
Защиты от USB-устройств? Их есть у нас... 11.07.04 03:24
Publisher: dl <Dmitry Leonov>
|
Защиты от USB-устройств? Их есть у нас... vunet.com, CNews.ru http://www.vnunet.com/news/1156541, http://www.cnews.ru/newsline/index.shtml?2004/07/09/161082
Похоже, что недавний отчет Gartner [ http://bugtraq.ru/rsn/archive/2004/07/10.html ] о потенциальной опасности расплодившихся USB-дисков, часов с флешкам и т.п. был с воодушевлением встречен индустрией (понятное дело, нужно торопиться, пока средства ограничения доступа к подобным носителям не окажутся встроенными в ОС). Довольно синхронно о выходе новых версий программ, направленных на решение описанной проблемы, отрапортовали Pointsec Mobile Technologies и Смарт Лайн Инк.
Правда, каждый из продуктов оперирует с одной из сторон описанной проблемы - Pointsec Media Encryption [ http://www.pointsec.com/products/products_fe.asp ] занимается прозрачным шифрованием данных, записываемых на носители, устраняя опасность утечки при выносе этой информации/краже носителя, в то время как DeviceLock [ http://www.protect-me.com/ru/dl/ ] позволяет управлять доступом...
Полный текст
|
| |
Это вряд ли 13.07.04 15:59
Автор: Neznaika <Alex> Статус: Member
|
1) Во-первых, у пользователей может стоять не только WinXP, но и Win2K или даже 98SE.
В таком случае, твой метод не годится.
2) А во-вторых, юзер перезагружается под локальным админом, вставляет флешку и наслаждается жизнью.
|
| | |
Если юзерам раздают локальных админов или сажают на 9х, то ни о какой политике безопасности речи не идет 13.07.04 16:36
Автор: amirul <Serge> Статус: The Elderman
|
> 1) Во-первых, у пользователей может стоять не только WinXP, > но и Win2K или даже 98SE. > В таком случае, твой метод не годится. > > 2) А во-вторых, юзер перезагружается под локальным админом, > вставляет флешку и наслаждается жизнью. И выносить оттуда можно все что угодно. Кроме того, метод по идее должен работать на 2к (а 9х давно пора на свалку истории)
|
| | | |
Не совсем понял 13.07.04 17:11
Автор: Neznaika <Alex> Статус: Member
|
1) Если ты захочешь, например, в софтверной фирме отобрать у девелоперов/тестеров/team-лидеров/program-менеджеров права локального админа - то я могу только порадоваться твоему оптимизму. С большой вероятностью, это будет твой последний день работы в компании.
2) На Win2K SP4 - в реестре такого ключа нет.
|
| | | | |
Если есть права админа, то и приведенный совет не работает... 13.07.04 17:20
Автор: amirul <Serge> Статус: The Elderman
|
> 1) Если ты захочешь, например, в софтверной фирме отобрать > у девелоперов/тестеров/team-лидеров/program-менеджеров > права локального админа - то я могу только порадоваться > твоему оптимизму. С большой вероятностью, это будет твой > последний день работы в компании. Если есть права админа, то и приведенный совет не работает. Ничто не помешает вернуть все обратно.
:-)
А девелоперы, тестеры и пр.. в более-менее крупной конторе должны тоже подчиняться политике безопасности. При этом данные никогда не должны переходить из более безопасного хранилища в менее безопасное (вернее для них должен существовать минимальный уровень, а все хранилища должны быть разбиты по уровням). Если правило не выполняются - политики безопасности нет.
Для тестирования и отладки в большинстве случаев хватает виртуальной машины, которая в любом случае не пересечет периметр хост-машины, но там можно иметь любые права.
> 2) На Win2K SP4 - в реестре такого ключа нет. А его и не будет пока не установишь хоть одно усб масс сторэйдж устройство. Хотя в принципе имя сервиса и могло поменяться, но это сильно вряд ли.
|
| | | | | |
Полностью согласен 13.07.04 18:06
Автор: Neznaika <Alex> Статус: Member
|
> Если есть права админа, то и приведенный совет не работает. > Ничто не помешает вернуть все обратно. > Так я про это и говорю. Вряд ли рекомендация MS кому-то помешает.
> А девелоперы, тестеры и пр.. в более-менее крупной конторе > должны тоже подчиняться политике безопасности. >
Ты все говоришь правильно, сложность в том, чтобы эту политику безопасности обеспечить. Все люди разные. И как правило, человек слаб - он не может быть рядом с водой и не напиться.. А когда девелопмент - 200 человек, то как говорится, всех не перестреляешь. И еще есть TechSupport, Writers, ect.
|
| | | | | | |
Не, а все просто. У всех отбираются права локального админа и говорится: 13.07.04 18:28
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
"Вам нужна машина с локальным админом? Вот вам VMWare/VirtualPC/Bochs/UserModeLinux, и вперед."
|
| | | | | | | |
И уже на следующий день 13.07.04 18:39
Автор: Neznaika <Alex> Статус: Member
|
ты можешь искать другую работу :)
Потому что - никакой CEO/team-leader/program-manager этого не потерпит и пошлет админа на три буквы со всеми его USB-девайсами.
|
| | | | | | | | |
Как раз ни фига 13.07.04 19:01
Автор: Ktirf <Æ Rusakov> Статус: Elderman Отредактировано 13.07.04 19:01 Количество правок: 1
|
Очень многие CEO трясутся над сохранением их интеллектуальной собственности. Если на предприятии есть CIO - это даже не обсуждается, тогда, как правило, есть четко поставленная политика безопасности. Я уже не говорю о том, что как раз CEO вообще до большого фонаря, как будет обеспечена сохранность этой самой интеллектуальной собственности.
Я знаю две (оговорюсь - большие) конторы, в которых подобная идея вполне могла бы прижиться. В одной из них я работал, и в те времена у нас (разработчиков) была постоянная грызня с админами за эти самые несчастные права локального админа. Умолчу, зачем они нам были нужны, замечу только, что мы бы замечательно прожили и без них, гоняя все необходимое по работе под варькой. Высшему руководству на это было почти положить, и наш отдел спасало лишь то, что нам благоволил один из вице-президентов (почему, к делу не относится). Иначе бы админы своего добились и начальство их только похвалило бы.
|
| | | | | | | | | |
Давай сделаем как можно проще - 13.07.04 19:32
Автор: Neznaika <Alex> Статус: Member
|
ты когда будешь работать админом, сразу отбирай у CEO и у всех PM-ов права локального админа под предлогом борьбы за их интеллектуальную собственность. И напиши потом, чем все закончилось.
Просто извини, но твои советы - это разговор ни о чем.
|
| | | | | | | | | | |
Я могу сразу написать. :0)
14.07.04 12:35
Автор: Vened Статус: Незарегистрированный пользователь
|
> ты когда будешь работать админом, сразу отбирай у CEO и у > всех PM-ов права локального админа под предлогом борьбы за > их интеллектуальную собственность. И напиши потом, чем все > закончилось. Я могу сразу написать. :0)
У нас, конечно, не бог весть какая большая контора, но в сети нет прав локального администратора _ни у кого_. Ни у руководства, ни у обычных пользователей.
И ничего, живем. Выгонять с работы пока не собираются. :0)
|
| | | | | | | | | | |
Не буду, у меня профиль другой :) Но если я паче чаяния... 13.07.04 19:46
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> ты когда будешь работать админом, Не буду, у меня профиль другой :) Но если я паче чаяния когда-нибудь стану техдиректором, то к попыткам ограничить мои права на рабочей машине буду относиться спокойно. При условии, что это будет не единственная мера безопасности, разумеется.
> Просто извини, но твои советы - это разговор ни о чем. Ну извини в свою очередь, нет у меня знакомых админов, уволенных за то, что они хотели отобрать права локального админа у высшего руководства. Наверное, вопрос об отборе этих прав не вставал. Мне очень трудно представить, чтобы высшему руководству требовалось портить жизнь собственной компании. А вот от синих воротничков и ниже подобного можно ожидать, потому что их лояльность по отношению к компании заведомо меньше. Бог с ними с CEO, почему хотя бы низшим чинам нельзя ограничить это дело?
|
| | | | | | | | | | | |
Кроме того, если CEO захочет навредить конторе 14.07.04 12:58
Автор: amirul <Serge> Статус: The Elderman
|
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
|
| |
Метод кончено хорош (очепятался - только щас заметил :-) ) 13.07.04 15:49
Автор: amirul <Serge> Статус: The Elderman Отредактировано 13.07.04 17:22 Количество правок: 1
|
> Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем > платить, если всё уже есть. > > RTFM! > > http://support.microsoft.com/default.aspx?scid=kb;en-us;823 > 732 Но приводит к ПОЛНОМУ отключению usb mass storage устройств. А описанные решения позволяют управлять доступом к этим устройствам.
|
|
|