Как можно защититься от администратора домена
Файервол... чтоб не лез 
Еслиб я был у вас админом то просто пришёл и ебнул тебя за такое.
У меня стоял встроенный файлрол WinXP, оказалось, что не момогает.
Зачем все это нужно - -пусть он не ставить на моем компе всякую херь.
Еще вопрос - если я шифрую файлы при помощи EFS - главный админ точно не расшифрует ?
Зачем все это нужно - -пусть он не ставить на моем компе всякую херь.
Еще вопрос - если я шифрую файлы при помощи EFS - главный админ точно не расшифрует ?
PGP Disk поставь
PGP Disk поставь
А что эта прога делает ? Тоже шифрует ?
А что эта прога делает ? Тоже шифрует ?
Компьютер ты свой отключи от домена.
И в группу локальную тихо засунь
Пока не замечена та перемена -
Юзай по полной рабочий писюн.
И в группу локальную тихо засунь
Пока не замечена та перемена -
Юзай по полной рабочий писюн.
Создает файл, который маунтится как раздел и система с ним работает как с обычным диском.
Вот только расшифровать его очень непросто
Вот только расшифровать его очень непросто
убери Domain Admins из группы локальных администраторов
Раз компьютер в домене, то он похоже не твой, а конторский. 
А вообще может стоит купить пива и подойти к админу и поговорить
Админы тоже люди.
А вообще может стоит купить пива и подойти к админу и поговорить
Админы тоже люди.
Первый стоящий совет
Какое количество пиздоболов! Скажено же было - выведи Domain admin из состава локальных админов. И вообще оставь только у себя прова локального админа и живи спокойно.
нуда живи спокойно, я бы на месте админа за это бы вломил.
Это не выход.. от звездов от админов это не спасет, а вот PGP запросто
нуда живи спокойно, я бы на месте админа за это бы вломил.
Это хараутерный признак хреновых админов, которые не могут решить проблему с пользователем без непосредственного общения с ним. Зачем тогда, спрашивается, дал пользователю права локального админа?
а я бы и не давал и а если б давал то уж придумал бы как не допустить такого беспредела
и а если б давал то уж придумал бы как не допустить такого беспределатакого беспредела
В чем беспредел? Ты, извини меня, сказал полную фигню. Бывают ситуации, когда администратор домена не должен иметь доступа к некоторым ресурсам. Это, ихмо, требования безопасности, понимаешь, которые в очень грубом приближении говорят, что права у таких людей, как администраторы домена надо отнимать по максимуму и несчадно. И если ты клевый админ, то ты будешь урезать свои прова, так, чтоб в случае утечки твоео логина/пароля все данные компании не потерлись в один день (образно).
требования безопасности
этим, бля, руководство должно заниматься, а не энтузиасты всякие
пиздец, бля...
за что админ может отвечать, если у него прав нет
руководство, бля, может определить только общую политику
а техническое воплощение без специалистов, бля, не получится
а техническое воплощение без специалистов, бля, не получится
руководство должно заниматься
Я всегда думал, что этим айти отдел занимается
. Ну раз начальнику занятся нечем, то пожалуйста. зависит от размера конторы. а вообще должен быть типа офицер безопастности но уж никак не сам усер должне это решать. если контора маленькая то это именно админ решает.
но уж никак не сам усер должне это решать. если контора маленькая то это именно админ решает.Я всегда думал, что этим айти отдел занимается
ну администратор этим и занимается
только как он может это обеспечить при отсутствии прав?
пиздец, бля...
за что админ может отвечать, если у него прав нет
Если ты админишь три компа, то можешь иметь все права - твоя сетка никому не нужна. А если ты админишь крупную организацию, внутренняя информация которой стоит весьма дорого. Соответственно и вероятность утечки пароля администратора возрастает (нож к горлу приставят - все скажут).
Кроме того, зачастую админ выполнет весьма узкий круг обязанностей, для которого, зачастую, ему не нужны права администратора домена, а достаточно простого дилегирования.
Короче, в данном случае можно объяснить админу, что информация на твоем компе носит строго конфиденциальный характер и нужно уменьшить вероятность её утечки - тем самым ты сможешь грамотно объяснить зачем ты вывел его из числа локальных админов.
to :
У тебя выходит, что админы по сути вредители. Но он же ставит на компьютеры домена ненавистные программы наверно не по своей прихоти. Если тебе его действия мешают жить, то нужно обговорить с вышестоящим начальством или опять же с ним. Зачем устраивать войнушки? На работе нужно работать, а не заниматься фигней. Лишнюю головную боль никому иметь не охота.
А насчет шифрования своих результатов на работе выгодно только тому, кто шифрует. После увольнения, если никто не знает пароля, зашифрованные данные пропадают.
У тебя выходит, что админы по сути вредители. Но он же ставит на компьютеры домена ненавистные программы наверно не по своей прихоти. Если тебе его действия мешают жить, то нужно обговорить с вышестоящим начальством или опять же с ним. Зачем устраивать войнушки? На работе нужно работать, а не заниматься фигней. Лишнюю головную боль никому иметь не охота.
А насчет шифрования своих результатов на работе выгодно только тому, кто шифрует. После увольнения, если никто не знает пароля, зашифрованные данные пропадают.
требования безопасностиЧто это за компания, где админы теоретически могут быть шпионами? А кого должны быть все права на машины домена? У гендиректора что-ли?
А разве у администратора домена нет прав на все машины, входящие в домен? Это можно отключить?
А кого должны быть все права на машины домена?
У того из админов у которого нет доступа из вне
Если ты админишь три компа, то можешь иметь все права - твоя сетка никому не нужна. А если ты админишь крупную организацию, внутренняя информация которой стоит весьма дорого. Соответственно и вероятность утечки пароля администратора возрастает (нож к горлу приставят - все скажут).
Что-то я сомневаюсь, что подобную секретную информацию хранят в обыкновенных doc файлах. Наверно есть какая-то аутентификация в базу данных... т.е. инфа храниться не на локальном диске.
А разве у администратора домена нет прав на все машины, входящие в домен? Это можно отключить?
Есть три вида групп: локальные, глобальные и универсальные.
Администратор домена по умолчанию является так же и локальным администратором, но его можно вывести из числа локальных администраторов.
У того из админов у которого нет доступа из вне
Не понял. Это как?
Понятно.
Что-то я сомневаюсь, что подобную секретную информацию хранят в обыкновенных doc файлах. Наверно есть какая-то аутентификация в наподобие базы данных...
Блин, ну если ты кул админ, у тебя все клева настроено, ты имеешь доступ ко всему в локалке. И вот ты уезжаешь на курорт, берешь с собой ноутбук, чтоб удаленно админить свою сеть. Но однажды к тебе в гостиничный номер вваливаются ребята в масках, приставляют тебе нож к горлу и предлагают тебе зайти к себе на работу через инет и грохнуть, например, все исходники программ, которые пишут твои программисты (у тебя программерская контора для примера) - я думаю, ты будешь сильно сопротивляться.
и грохнуть, например, все исходники программ, которые пишут твои программистыпример не совсем корректный, т.к. существуют бэкапы.
Конечно, при большой секретности удаленно админить наверно запрещено. Только мы вообще не про удаленно е администрирование говорим. Ситуация намного проще. Есть админ на работе, есть пользователь там же. У них конфликт. Я утверждаю, что если админ админит компьютеры домена, то он должен иметь права администратора на все компьютеры домена. Чтобы удаленно их заапдейтить (для повышения безопасности опять же). Поэтому не нужно их лишать этого. Ножа у горла там нет. Я лишь за то, чтобы пользователю не мешали работать, а админу администрировать. А то как раз из-за дырок и присылаются Касперскому вирусы с бюджетом Украины.
Объяснять отдельно чего в таком случае стоит безопасность всей твоей сети?
Безопасность от кого?
От внешних есть файрволы. От внутренних есть права доступа. Не нужно хранить важные документы на локальных машинах - используйте файловые сервера.
Готов выслушать твою точку зрения устройства безопасной сети. Что-то это всё пахнет параноей - т.е. никому нельзя доверять кроме себя.
От внешних есть файрволы. От внутренних есть права доступа. Не нужно хранить важные документы на локальных машинах - используйте файловые сервера.
Готов выслушать твою точку зрения устройства безопасной сети. Что-то это всё пахнет параноей - т.е. никому нельзя доверять кроме себя.
"Параноя --- профессиональное заболевание специалистов по безопасности.
Но любитель может зайти и дальше."
Насколько я понял, безопасность часто не обеспечивается, вообще,
так что и файловых серверов можно не найти.
Кстати, админить может и сам начальник,
даже если и не умеет.
Так что вопрос стоит по делу.
---
...Я работаю антинаучным аферистом...
Но любитель может зайти и дальше."
Насколько я понял, безопасность часто не обеспечивается, вообще,
так что и файловых серверов можно не найти.
Кстати, админить может и сам начальник,
даже если и не умеет.
Так что вопрос стоит по делу.
---
...Я работаю антинаучным аферистом...
это хреновых спецов по безопастности мучает паранойа. я вот знаю что ничего не поможет и всё
"Нехреновый спец" --- "ничего не поможет" --- хорошая безопасность?
---
...Я работаю антинаучным аферистом...
---
...Я работаю антинаучным аферистом...
нет. но нет повода для паранойи
и система с ним работает как с обычным дискомТогда, наверное, удалённый админ может зайти через удалённый доступ и тоже поработать с ним как с обычным диском... Или я чего-то не понимаю?
просто бывают такие сотрудники, которым необходимы права администратора(локального в том числе добавление и удаление прогарамм) иначе он не может работать. А вообще есливывесде админа домена из администраторов, то при перезагрузке он опять там появиться и скорее всео говно тоже установиться.
Выскажу свою точку зрения, как админ домена
Я полагаю, что политика администрирования должна строиться, учитывая аспекты надежности (и безопасности) систем/сети и удобства работы пользователей.
Я считаю своих пользователей вменяемыми людьми, поэтому они имеют права локальных администраторов для различных потребностей.
Непосредственно на _их_ машины софт ставится в случаях крайней необходимости (ну типа какой-нибудь патч от свежего вируса накатать).
Чем пользователь занимается в пределах своей машины, меня в принципе не интересует, лишь бы это не мешало работе сети и не жрало бы трафик, - в таких случаях я уже вмешиваюсь, ибо работа такая.
Поэтому я в принципе не понимаю, какой смысл в том, чтобы "защищаться" от админа домена.
Я полагаю, что политика администрирования должна строиться, учитывая аспекты надежности (и безопасности) систем/сети и удобства работы пользователей.
Я считаю своих пользователей вменяемыми людьми, поэтому они имеют права локальных администраторов для различных потребностей.
Непосредственно на _их_ машины софт ставится в случаях крайней необходимости (ну типа какой-нибудь патч от свежего вируса накатать).
Чем пользователь занимается в пределах своей машины, меня в принципе не интересует, лишь бы это не мешало работе сети и не жрало бы трафик, - в таких случаях я уже вмешиваюсь, ибо работа такая.
Поэтому я в принципе не понимаю, какой смысл в том, чтобы "защищаться" от админа домена.
Ну, например, потому что администратор не такой, как ты, и:
а) политика администрирования строится исходя из собственных желаний;
б) без учёта удобства работы пользователей;
в) обеспечение ставится не в случаях необходимости, а как в голову взбредёт;
г) удаляется точно так же;
д) администратор имеет необоримое желание разглядывать,
чем занимается пользователь на своей машине.
---
"А я обучался азбуке с вывесок,
листая страницы железа и жести."
а) политика администрирования строится исходя из собственных желаний;
б) без учёта удобства работы пользователей;
в) обеспечение ставится не в случаях необходимости, а как в голову взбредёт;
г) удаляется точно так же;
д) администратор имеет необоримое желание разглядывать,
чем занимается пользователь на своей машине.
---
"А я обучался азбуке с вывесок,
листая страницы железа и жести."
такого админа уже давно бы погнали
Если админ и начальник --- одно и то же лицо, то как?
---
...Я работаю антинаучным аферистом...
---
...Я работаю антинаучным аферистом...
тогда он имеет на всё это право.
"На белый террор мы вправе ответить красным террором."
Ленин.
Перечитываем заголовок.
Ленин.
Перечитываем заголовок.
На который последует увольнение.
Ещё не ясно, но вопрос стоит.
---
...Я работаю...
---
...Я работаю...
Я скажу, что бы я сделал, закройся от меня юзер (так как маленько админю и домен) %) Я бы ему позвонил и спросил, что за хня? Если он честно во всем сознается, то попрошу, чтобы эта самая хня немедленно исчезла и более не появлялась (так как самому ее убирать - лень) Если так и будет - то все ОК, если же он, юзер не займет этой вменяемой позиции - значит ему не место в домене %) Пару раз было такое - через час уже все было по моему, потому как юзеры - они без сети не могут ни работать, ни даже в инете полазить... А работников, которые не делают ни того ни другого - увольняют... А в глазах руководства прав всегда админ, и все это прекрасно понимают...
А вообще есливывесде админа домена из администраторов, то при перезагрузке он опять там появиться
Ты не прав - не появится. Это даже Microsoft утверждает
хе хе у меня появляется.
А если хостеру свою машинку ставить?
Там то вроде точно не нужно чтоб у него какие либо права были.
Там то вроде точно не нужно чтоб у него какие либо права были.
Оставить комментарий
xz_post
Если сам при этом - локальный админ ?