Форум ''Интернет и Право''

В доменной сети есть компьютер на который необходимо запретить доступ всем (кроме пользователя данного компьютера) включая администратора домена, не выводя данный компьютер из домена. Нужно чтобы не только с него нельзя было что-то скопировать но и так же записать на него что-либо. Каким способом можно это организовать с тем учетом что пользователь компьютера имеет права локального администратора.  Интересует любой способ от программного до аппаратного.  Заранее спасибо!

Пакетным фильтром но самОм компьютере или ACL на коммутаторе запретить все протоколы кроме необходимых для аутентификации в домене.

Николай Николаевич, Вы, в принципе, правы, но только в достаточно узком смысле.  :)

Для начала, необходимо "определиться с определениями": "понимание - функция терминологии"(с)моё. Что конкретно (в каком объёме) автор подразумевает под "доступом" или его отсутствием - только ли сетевой (в более узком смысле - шары или remote)???

Дело в том, что администратор домена имеет крайне широкий спектр возможностей в своём хозяйстве. Соответственно, не лишним было бы упоминание о том, в каких отношениях автор со своим админом - это позволит лучше понимать ситуацию. Поясню - пользователь компа (с правами локального админа) может затруднить доступ извне к своему компу, но не может полностью исключить его - доменный админ может получить доступ к данным на этом компе (или "открыть закрытое") , войдя локально (даже если ему для этого потребуются некоторые телодвижения). Отсюда вывод - сочетать технические меры с организационными (вроде прямого запрета вторгаться в систему и аудит выполнения данного запрета со стороны ISO).

Ваш же ответ касается лишь сетевого доступа, причём Ваш совет нуждается в некотором уточнении.
Пакетный фильтр (локальный файервол/брандмауэр), конечно, может порубать протоколы, отвечающие за доступ к шарам и удалённому десктопу - собственно, в настоящее время в win-системах (по контексту подразумевается именно win-клиент) файервол по умолчанию отсекает все входящие соединения.
А вот насчёт ACL на коммутаторе Вы слегка погорячились. :) Стандартные коммутаторы (уровня 2 - Ethernet) не имеют возможности мониторить и регулировать траффик по уровню 3 (IP-протокол) - это удел Level 3 switches. Но последние составляют лишь малую долю в общем числе коммутаторов и используются в основном для разделения сети на IP-подсети в тех случаях, когда нет желания или возможности использовать маршрутизаторы. Не думаю, что автор может себе позволить для решения своей задачи поменять core-switch своей локалки (они недёшевы да и вряд ли ему позволят). Формально говоря, можно поставить между компом автора и локалкой маршрутизатор-"мыльницу" за сотню баксов и настроить ACL на нём, но старик Оккам в гробу перевернётся... :)

//дисклаймер: не сочтите мой дебют злобным наездом - излагалось столь подробно не порицания ради, но объективности для... :) //

Отвечая на вопросы De Nada можно сказать, что автор с админом в стандартных рабочих отношениях, а вот человек чей компьютер нужно закрыть от всеобщего обозрения чихал на админа в силу своего высокого рабочего положения. В тоже время он не хочет выводить компьютер из домена для облегчения своей жизни.  Получение доступа к компьютеру путема телодвижения админа и остальных меня не интересует, интересует именно вопрос доступа к компьюреру из сети с целью кражи и подкидывания информации. Вот и требуется такой способ который позволит исключить данные возможности, путем разруливания правил на локальной машине без вмешивания администратора любим программным или аппаратным способом, причем цена вопроса не имеет значения.

Украшаю Level 3 switches бриллиантами. Эксклюзивная авторская работа (возможна инкрустация в виде логотипа фирмы). Платиновые и золотые корпуса в наличии и под заказ. Обращаться в личку.  ;D

2 anx:
Если в порядке брюзжания :), то, ИМХО, такие вопросы лучше бы задавать на специализированных сисадминских форумах (правда не исключено, что оттуда Вас могли "послать" из странно понимаемой "корпоративной солидарности" с Вашим админом). Если же я (или кто ещё) будет устраивать развёрнутый ликбез по подобным вопросам, то, боюсь, это скоро выйдет мне боком - местные модераторы могут "поставить на вид" за "полу-офф"... :)

Если же придерживаться лапидарного стиля, то
http://www.securitylab.ru/forum/forum18/topic1274/messages/#message0

В Вашем случае вполне достаточно остановить службы Server и Remote Registry, плюс, как справедливо заметил Н.Н., прикрыться файерволом (BTW, вполне хватит и штатного виндового, только скажите ему "без исключений", а то в эти исключения разные проги постоянно норовят добавить себе лазейку). Никаких спец.прог в таком акцепте больше не нужно. Ну ещё нужно будет глянуть где покрутить, чтобы локальные политики не перебивались доменными (извините, ссылку не дам, за давностью не помню, куда с этим лазят).

Наконец, довольно сильно затруднён доступ к системе, если она находится за NAT (т.е. за маршрутизатором). Чтобы не ставить роутер между компом и сетью, можно просто перевести систему на виртуальную машину. Заодно это можно использовать для повышения защищённости системы как от вторжения, так и от иных факторов, ведущих к потере данных - вирт.машину удобно бэкапить, перемещать между хостами, транспортировать и запускать на других компах. Расположив её в криптоконтейнере, можно не бояться скомпрометировать данные, которыми она оперирует, при попадании диска в чужие руки (особенно это касается win-систем, зачастую оставляющих чувствительную инфу где ни попадя) - это в большинстве случаев сделать проще, чем использование FDE.  


А почему бы и не вывести? Тем самым он автоматом выйдет из под действия доменных политик, по умолчанию имеющих приоритет над локальными. При "закрывании" компа от сетевого доступа извне он (комп) может использовать ресурсы домена, не будучи его членом - достаточно, чтобы у хозяина компа был аккаунт в домене: при первом доступе к сетевым ресурсам учётные данные просто запоминаются системой перманентно (есть там такая галочка). Тут, кстати, снова рулит вирт.система в контейнере или FDE - сохранённые данные учётки не будут скомпрометированы.

//Правда, судя по Вашей информации, Вас и хозяина компа не слишком беспокоит потенциальная возможность физической компрометации защищаемой системы, однако в ином случае вышеупомянутые меры сетевой защиты разумно было бы сочетать с защитой физической...//

В общем, если уж защищаться, так защищаться - тут можно навернуть разные варианты (ну да, в чём то сделав работу с системой менее простой по сравнению с обычной by default, но оставаясь в рамках разумного усложнения, не ведущего к полной невозможности что-либо сделать).

От себя добавлю, что, поскольку Вы спрашиваете об этом, то напрашивается вывод, что сие знание не входит в обычный круг Ваших навыков и умений. Следовательно, любая инфа по этому вопросу может оказаться для Вас не совсем понятной или исчерпывающей. Отсюда возникает ощущение, что более правильным было бы поручить "изоляцию" того компа приглашённому со стороны сисадмину (естественно, пользующемуся доверием со стороны обсуждаемой VIP).

2 Igor Michailov:
Достойная реакция на отквоченное... Смеялсо... :)

Ну, да. К хорошему быстро привыкаешь.


Казалось бы, откуда в вашем регионе бриллианты? ;) В речке намыли по выходным?

А идея - знатная.