|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - [решено] Как защититься от доменного администратора |
|
|
Вопрос - [решено] Как защититься от доменного администратора
|
|
Новый участник Сообщения: 26 |
Хотелось бы обсудить такую неоригинальную тему, как защита нескольких локальных (не путать с автономными) АРМ от доменного администратора (если быть точным, то нужно исключить возможность считывания информации с локальных [физических и виртуальных] жёстких дисков, а также просмотра экрана и буфера обмена) при условии, что сетевой доступ у него есть, а локального нет. Лично я вижу следующие пути:
1. 1.1 Поднятие собственного домена в собственном лесу. 1.2 Установка доверительных отношений между "своим" и "старым" доменом. 1.3 Перенос всех компьютеров и пользователей в собственный домен. 1.4 Запрет (с помощью локальных межсетевых экранов) входящих подключений к локальным АРМ со всех адресов кроме "нового" домена. 1.5 Ограничение входящих подключения (с помощью локального межсетевого экрана с функцией SPI и IPS/IDS) к "новому" домену со стороны "старого". Минус - придётся плотно заниматься администрированием новой сети. 2. 2.1 Отключить админские шары. 2.2 Отключить применение групповых политик и logon-скриптов. 2.3 Поставить локальные межсетевые экраны с функцией самозащиты, SPI и IPS/IDS. Минус - придётся детально прорабатывать Traffic Police и правила межсетевого экранирования, поэтому предпочтение правилам, ранее подготовленным и протестированным, или средствам защиты. имеющим корректные предустановки. 3. 3.1 Отключить админские шары. 3.2 Отключить применение групповых политик и logon-скриптов. 3.1 Создать изолированную программную среду с помощью, к примеру, Secret Net Studio (если есть альтернативы, называйте). |
|
|
Отправлено: 17:20, 18-05-2016 |
fascinating rhythm
Сообщения: 6627
|
Профиль | Отправить PM | Цитировать Цитата superpalych:
|
|
|
------- Отправлено: 22:38, 18-05-2016 | #2 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать Почему не техническая? После выстраивания системы контроля обычных пользователей заказчики всё чаще интересуются контролем привилегированных пользователей (vGate, CyberArc, Wallix, BalaBit и т.д.).
|
|
Отправлено: 22:49, 18-05-2016 | #3 |
PainStaking
Сообщения: 3992
|
Профиль | Отправить PM | Цитировать superpalych, для этого нужна нормальная служба информационной безопасности, которая будет регламентировать и контролировать работу сисадминов. Во всех остальных случаях злонамеренный системный администратор с большой долей вероятности сумеет сделать что-то нехорошее.
P.S. А после того как заказчики выстроят систему контроля сисадминов, они будут выстраивать систему контроля специалистов ИБ?  |
|
------- Отправлено: 13:41, 19-05-2016 | #4 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать Цитата xoxmodav:
|
||
|
Отправлено: 08:19, 20-05-2016 | #5 |
Ветеран Сообщения: 740
|
Профиль | Отправить PM | Цитировать Цитата superpalych:
Цитата superpalych:
Цитата superpalych:
Цитата superpalych:
Цитата superpalych:
Цитата superpalych:
Опишите реальную ситуацию и то, чего вы хотите добиться. |
||||||
|
Отправлено: 12:11, 20-05-2016 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Вопрос - Как защититься от шифровальщика? | Michael | Защита компьютерных систем | 9 | 29-06-2015 18:12 | |
| Как отобрать права администратора у доменного пользователя | thehisteam | Microsoft Windows NT/2000/2003 | 13 | 28-05-2015 16:02 | |
| Попытка защититься от администратора... | ribentrop | Microsoft Windows NT/2000/2003 | 3 | 14-01-2007 10:08 | |
| Как защититься от атак? | FWC | Сетевые технологии | 8 | 19-04-2003 11:58 | |
| Как защититься от сканеров? | xmaker | Хочу все знать | 6 | 23-07-2002 12:29 | |
|
|
Время: 06:34. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
