Форум ''Интернет и Право''
16 Декабрь 2017, 21:07:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Защита компьютера в доменной сети  (Прочитано 7084 раз)
anx
Посетитель
*
Офлайн Офлайн

Сообщений: 2


С любовью к ближнему


E-mail
« : 18 Май 2009, 15:46:19 »

В доменной сети есть компьютер на который необходимо запретить доступ всем (кроме пользователя данного компьютера) включая администратора домена, не выводя данный компьютер из домена. Нужно чтобы не только с него нельзя было что-то скопировать но и так же записать на него что-либо. Каким способом можно это организовать с тем учетом что пользователь компьютера имеет права локального администратора.  Интересует любой способ от программного до аппаратного.  Заранее спасибо!
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #1 : 19 Май 2009, 09:17:29 »

Пакетным фильтром но самОм компьютере или ACL на коммутаторе запретить все протоколы кроме необходимых для аутентификации в домене.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #2 : 19 Май 2009, 14:04:07 »

Николай Николаевич, Вы, в принципе, правы, но только в достаточно узком смысле.  Улыбающийся

Для начала, необходимо "определиться с определениями": "понимание - функция терминологии"(с)моё. Что конкретно (в каком объёме) автор подразумевает под "доступом" или его отсутствием - только ли сетевой (в более узком смысле - шары или remote)Непонимающий

Дело в том, что администратор домена имеет крайне широкий спектр возможностей в своём хозяйстве. Соответственно, не лишним было бы упоминание о том, в каких отношениях автор со своим админом - это позволит лучше понимать ситуацию. Поясню - пользователь компа (с правами локального админа) может затруднить доступ извне к своему компу, но не может полностью исключить его - доменный админ может получить доступ к данным на этом компе (или "открыть закрытое") , войдя локально (даже если ему для этого потребуются некоторые телодвижения). Отсюда вывод - сочетать технические меры с организационными (вроде прямого запрета вторгаться в систему и аудит выполнения данного запрета со стороны ISO).

Ваш же ответ касается лишь сетевого доступа, причём Ваш совет нуждается в некотором уточнении.
Пакетный фильтр (локальный файервол/брандмауэр), конечно, может порубать протоколы, отвечающие за доступ к шарам и удалённому десктопу - собственно, в настоящее время в win-системах (по контексту подразумевается именно win-клиент) файервол по умолчанию отсекает все входящие соединения.
А вот насчёт ACL на коммутаторе Вы слегка погорячились. Улыбающийся Стандартные коммутаторы (уровня 2 - Ethernet) не имеют возможности мониторить и регулировать траффик по уровню 3 (IP-протокол) - это удел Level 3 switches. Но последние составляют лишь малую долю в общем числе коммутаторов и используются в основном для разделения сети на IP-подсети в тех случаях, когда нет желания или возможности использовать маршрутизаторы. Не думаю, что автор может себе позволить для решения своей задачи поменять core-switch своей локалки (они недёшевы да и вряд ли ему позволят). Формально говоря, можно поставить между компом автора и локалкой маршрутизатор-"мыльницу" за сотню баксов и настроить ACL на нём, но старик Оккам в гробу перевернётся... Улыбающийся

//дисклаймер: не сочтите мой дебют злобным наездом - излагалось столь подробно не порицания ради, но объективности для... Улыбающийся //
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
anx
Посетитель
*
Офлайн Офлайн

Сообщений: 2


С любовью к ближнему


E-mail
« Ответ #3 : 19 Май 2009, 15:30:43 »

Отвечая на вопросы De Nada можно сказать, что автор с админом в стандартных рабочих отношениях, а вот человек чей компьютер нужно закрыть от всеобщего обозрения чихал на админа в силу своего высокого рабочего положения. В тоже время он не хочет выводить компьютер из домена для облегчения своей жизни.  Получение доступа к компьютеру путема телодвижения админа и остальных меня не интересует, интересует именно вопрос доступа к компьюреру из сети с целью кражи и подкидывания информации. Вот и требуется такой способ который позволит исключить данные возможности, путем разруливания правил на локальной машине без вмешивания администратора любим программным или аппаратным способом, причем цена вопроса не имеет значения.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #4 : 19 Май 2009, 16:58:27 »

цена вопроса не имеет значения.
Украшаю Level 3 switches бриллиантами. Эксклюзивная авторская работа (возможна инкрустация в виде логотипа фирмы). Платиновые и золотые корпуса в наличии и под заказ. Обращаться в личку.  Смеющийся
« Последнее редактирование: 19 Май 2009, 17:00:23 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #5 : 19 Май 2009, 18:50:14 »

2 anx:
Если в порядке брюзжания Улыбающийся, то, ИМХО, такие вопросы лучше бы задавать на специализированных сисадминских форумах (правда не исключено, что оттуда Вас могли "послать" из странно понимаемой "корпоративной солидарности" с Вашим админом). Если же я (или кто ещё) будет устраивать развёрнутый ликбез по подобным вопросам, то, боюсь, это скоро выйдет мне боком - местные модераторы могут "поставить на вид" за "полу-офф"... Улыбающийся

Если же придерживаться лапидарного стиля, то
http://www.securitylab.ru/forum/forum18/topic1274/messages/#message0

В Вашем случае вполне достаточно остановить службы Server и Remote Registry, плюс, как справедливо заметил Н.Н., прикрыться файерволом (BTW, вполне хватит и штатного виндового, только скажите ему "без исключений", а то в эти исключения разные проги постоянно норовят добавить себе лазейку). Никаких спец.прог в таком акцепте больше не нужно. Ну ещё нужно будет глянуть где покрутить, чтобы локальные политики не перебивались доменными (извините, ссылку не дам, за давностью не помню, куда с этим лазят).

Наконец, довольно сильно затруднён доступ к системе, если она находится за NAT (т.е. за маршрутизатором). Чтобы не ставить роутер между компом и сетью, можно просто перевести систему на виртуальную машину. Заодно это можно использовать для повышения защищённости системы как от вторжения, так и от иных факторов, ведущих к потере данных - вирт.машину удобно бэкапить, перемещать между хостами, транспортировать и запускать на других компах. Расположив её в криптоконтейнере, можно не бояться скомпрометировать данные, которыми она оперирует, при попадании диска в чужие руки (особенно это касается win-систем, зачастую оставляющих чувствительную инфу где ни попадя) - это в большинстве случаев сделать проще, чем использование FDE.  

Цитировать
В тоже время он не хочет выводить компьютер из домена для облегчения своей жизни.

А почему бы и не вывести? Тем самым он автоматом выйдет из под действия доменных политик, по умолчанию имеющих приоритет над локальными. При "закрывании" компа от сетевого доступа извне он (комп) может использовать ресурсы домена, не будучи его членом - достаточно, чтобы у хозяина компа был аккаунт в домене: при первом доступе к сетевым ресурсам учётные данные просто запоминаются системой перманентно (есть там такая галочка). Тут, кстати, снова рулит вирт.система в контейнере или FDE - сохранённые данные учётки не будут скомпрометированы.

//Правда, судя по Вашей информации, Вас и хозяина компа не слишком беспокоит потенциальная возможность физической компрометации защищаемой системы, однако в ином случае вышеупомянутые меры сетевой защиты разумно было бы сочетать с защитой физической...//

В общем, если уж защищаться, так защищаться - тут можно навернуть разные варианты (ну да, в чём то сделав работу с системой менее простой по сравнению с обычной by default, но оставаясь в рамках разумного усложнения, не ведущего к полной невозможности что-либо сделать).

От себя добавлю, что, поскольку Вы спрашиваете об этом, то напрашивается вывод, что сие знание не входит в обычный круг Ваших навыков и умений. Следовательно, любая инфа по этому вопросу может оказаться для Вас не совсем понятной или исчерпывающей. Отсюда возникает ощущение, что более правильным было бы поручить "изоляцию" того компа приглашённому со стороны сисадмину (естественно, пользующемуся доверием со стороны обсуждаемой VIP).

2 Igor Michailov:
Достойная реакция на отквоченное... Смеялсо... Улыбающийся

« Последнее редактирование: 19 Май 2009, 19:04:25 от De Nada » Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #6 : 20 Май 2009, 18:13:40 »

А вот насчёт ACL на коммутаторе Вы слегка погорячились. Улыбающийся Стандартные коммутаторы (уровня 2 - Ethernet) не имеют возможности мониторить и регулировать траффик по уровню 3 (IP-протокол) - это удел Level 3 switches.
Ну, да. К хорошему быстро привыкаешь.


Украшаю Level 3 switches бриллиантами.
Казалось бы, откуда в вашем регионе бриллианты? Подмигивающий В речке намыли по выходным?

А идея - знатная.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2017. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines