[Angry Demon]

Hedgehogs
Методы защиты одни и те же от всех шпионов: очистить автозагрузку от всего лишнего и прошерстить список служб на всё подозрительное.

Не значит ли это, что админ не может просто так посмотреть в мой экран, ему обязательно требуется установить ко мне на компьютер какую-нибудь программу?
И в это м случае я ее смогу увидеть?
Или программы удаленного администрирования сами смотрят издалека, без соответствующего софта у меня?

[rizz]

Hedgehogs
нужен сервер у вас, у админа клиент
если сервак у вас вырубить в автозагрузке, то админ не сможет наблюдать
если это служба, то вырубить её в службах, плюс любой файрвол

[xoxmodav]

Во-первых сразу надо оговориться Hedgehogs, раз твой компьютер в домене, какие локальные права ты имешь? Администраторские, опытный пользователь, пользователь?

ИМХО- Защититься можно лишь с помошью установки стороннего брандмауэра с жёстко заданными политиками, т.к. DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента. Установка и запуск происходит удалённо. При этом DameWare NT Utilities позволяют при отключении автоматически устанавливать, запускать, останавливать и удалять службы. Ты можешь даже ничего не знать об этом, а к тебе подключатся, посмотрят и отключатся.

rizz
Обычно в доменной среде не практикуется давать пользователям права на установку сторонних брандмауэров, поэтому фраза "плюс любой файрвол" может прозвучать как издевательство, также как и отключение/остановка службы или изменение автозагрузки.

[rizz]

Цитата:

DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента

тогда это раздолье для хакеров, если к любой машине можно подключиться без установки на ней соответствующего сервера, может я чё то не понимаю как это делается в сетях но принцип клиент-сервер работает везде, и пока сервер не ответит или его вобще нет, клиент (т.е. админ) ничего не получит

[xoxmodav]

rizz администратор домена по умолчанию входит на всех рабочих станциях своего домена в группу локальных администраторов. Поэтому пройдя соответственно авторизацию на рабочей станции получает администраторские привилегии, и уже обладая ими производит удалённую установку/удаление клиентской части программы (сервиса) удалённого администрирования. Может я недостаточно чётко выразил свою мысль, говоря "не нуждаются в локальной установке клиента", я имел в виду предварительную интерактивную (т.е. лично самому и руками) установку на рабочих станциях.

Само собой администраторы домена используют различные механизмы защиты от получения сторонними лицами административных привилегий.

P.S. Имея администраторские права к любому компьютеру можно заходить туда практически как к себе домой.

[shurovik]

Hedgehogs,
Если вопрос идет о компьютере, что стоит у вас на работе, то вам перед претворением в жизнь советов, данных выше, следует еще раз изучить свою должностную инструкцию (а при ее отсутствии - правила внутреннего распорядка вашей компании). Если там есть пункт, который запрещает модификацию (программную/аппаратную) рабочего компьютера, то ваши действия могут привести к санкциям со стороны руководства (и администраторов тоже). Впрочем, если ваша работа подразумевает повышенный уровень безопасности, и у вас есть обоснованные доказательства этого, то обращайтесь к своему руководству насчет запрета мониторинга вашего компьютера.

[V0van3]

пытался написать скрипт который выносит остатки dameware на клиенте (моя задача - без reboot)

зачем это нужно: апгрейд версии (стандартными средствами получаются косяки с конфигами если он существенно менялся), вычистить машину чтобы не осталось следов коннекта по dameware, чтобы слишком хитрые пользователи не могли доказать факты слежки.

Зато случайно достиг вам нужного эффекта: из-за того что сервис выносится не полностью - проблема access denied ключей реестра повторно подключиться к этой машине по dameware нельзя - вылетает ошибка при попытке проинсталлировать сервис средствами DameWare

скрипт не ругать - это пробная бэта версия т.к. запускается на самом клиенте, если смогу победить сервис - переделаю на удалённый запуск.

Код:

@rem Очистка клиента от остатков после подключения DameWare
@rem Copywrite by Vovan

set ClientWinDir=c:\winnt
set cmdutilspath=o:\scripts

@rem права на сервис
%cmdutilspath%\subinacl /SERVICE "DWMRSC" /GRANT="%username%"=TO

@rem останавливаем сервис
net stop DWMRSC

@rem удаляем файлы с диска
del /f/q %ClientWinDir%\system32\dwrck.dll
del /f/q %ClientWinDir%\system32\dwrcset.dll
del /f/q %ClientWinDir%\system32\dwrcshell.dll
del /f/q %ClientWinDir%\system32\dwrcs.exe
del /f/q %ClientWinDir%\system32\dwrcst.exe
del /f/q %ClientWinDir%\system32\dwrcst.exe.manifest
del /f/q %ClientWinDir%\system32\dwrcs.ini

@rem выносим сервис из реестра
rem subinacl /keyreg \\127.0.0.1\HKEY_LOCAL_MACHINE\SOFTWARE 
%cmdutilspath%\subinacl /keyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\ /grant="everyone"=F
%cmdutilspath%\Regini.exe regini.ini
reg del HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS /FORCE
reg del HKLM\SYSTEM\CurrentControlSet\Services\DWMRCS /FORCE

естессно нужны права локального админа

Есть вопрос: как удалить автоматически сервис/legacy device driver средствами bat/reg/inf файлов?

[Ghost Shadow]

Dameware нельзя установить удаленно, если у устанавливающего нет административного пароля к твоему компьютеру (локальных или доменных). Так же фаэр помогает, но в свое время zone alarm не предотвратил установку, однако спросил разрешения на доступ сервису dameware в сеть.