Защититься от DameWare
 

Существует много программ удаленного администрирования (управления рабочим столом)
Одна из них - DameWare.
Как можно защитить свой компьютер от того, что сисадмин, с помощью такого рода программ, залезет и будет глядеть, что у меня на экране?
Машина в домене.

Hedgehogs
Методы защиты одни и те же от всех шпионов: очистить автозагрузку от всего лишнего и прошерстить список служб на всё подозрительное.

Не значит ли это, что админ не может просто так посмотреть в мой экран, ему обязательно требуется установить ко мне на компьютер какую-нибудь программу?
И в это м случае я ее смогу увидеть?
Или программы удаленного администрирования сами смотрят издалека, без соответствующего софта у меня?

Hedgehogs
нужен сервер у вас, у админа клиент
если сервак у вас вырубить в автозагрузке, то админ не сможет наблюдать
если это служба, то вырубить её в службах, плюс любой файрвол

Во-первых сразу надо оговориться Hedgehogs, раз твой компьютер в домене, какие локальные права ты имешь? Администраторские, опытный пользователь, пользователь?

ИМХО- Защититься можно лишь с помошью установки стороннего брандмауэра с жёстко заданными политиками, т.к. DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента. Установка и запуск происходит удалённо. При этом DameWare NT Utilities позволяют при отключении автоматически устанавливать, запускать, останавливать и удалять службы. Ты можешь даже ничего не знать об этом, а к тебе подключатся, посмотрят и отключатся.

rizz
Обычно в доменной среде не практикуется давать пользователям права на установку сторонних брандмауэров, поэтому фраза "плюс любой файрвол" может прозвучать как издевательство, также как и отключение/остановка службы или изменение автозагрузки.

тогда это раздолье для хакеров, если к любой машине можно подключиться без установки на ней соответствующего сервера, может я чё то не понимаю как это делается в сетях но принцип клиент-сервер работает везде, и пока сервер не ответит или его вобще нет, клиент (т.е. админ) ничего не получит

rizz администратор домена по умолчанию входит на всех рабочих станциях своего домена в группу локальных администраторов. Поэтому пройдя соответственно авторизацию на рабочей станции получает администраторские привилегии, и уже обладая ими производит удалённую установку/удаление клиентской части программы (сервиса) удалённого администрирования. Может я недостаточно чётко выразил свою мысль, говоря "не нуждаются в локальной установке клиента", я имел в виду предварительную интерактивную (т.е. лично самому и руками) установку на рабочих станциях.

Само собой администраторы домена используют различные механизмы защиты от получения сторонними лицами административных привилегий.

P.S. Имея администраторские права к любому компьютеру можно заходить туда практически как к себе домой.

Hedgehogs,
Если вопрос идет о компьютере, что стоит у вас на работе, то вам перед претворением в жизнь советов, данных выше, следует еще раз изучить свою должностную инструкцию (а при ее отсутствии - правила внутреннего распорядка вашей компании). Если там есть пункт, который запрещает модификацию (программную/аппаратную) рабочего компьютера, то ваши действия могут привести к санкциям со стороны руководства (и администраторов тоже). Впрочем, если ваша работа подразумевает повышенный уровень безопасности, и у вас есть обоснованные доказательства этого, то обращайтесь к своему руководству насчет запрета мониторинга вашего компьютера.

пытался написать скрипт который выносит остатки dameware на клиенте (моя задача - без reboot)

зачем это нужно: апгрейд версии (стандартными средствами получаются косяки с конфигами если он существенно менялся), вычистить машину чтобы не осталось следов коннекта по dameware, чтобы слишком хитрые пользователи не могли доказать факты слежки.

Зато случайно достиг вам нужного эффекта: из-за того что сервис выносится не полностью - проблема access denied ключей реестра повторно подключиться к этой машине по dameware нельзя - вылетает ошибка при попытке проинсталлировать сервис средствами DameWare

скрипт не ругать - это пробная бэта версия т.к. запускается на самом клиенте, если смогу победить сервис - переделаю на удалённый запуск.
естессно нужны права локального админа

Есть вопрос: как удалить автоматически сервис/legacy device driver средствами bat/reg/inf файлов?

Dameware нельзя установить удаленно, если у устанавливающего нет административного пароля к твоему компьютеру (локальных или доменных). Так же фаэр помогает, но в свое время zone alarm не предотвратил установку, однако спросил разрешения на доступ сервису dameware в сеть.

V0van3, а что за DWMRSC в вашем скрипте?

сколько не смотрел не вижу в виндовых службах DameWare, похоже она эту службу удаляет когда отконнекчивается, самая зверская прога для локальных сетей когда знаешь логин пароль, видит все диски даже те которые не расшарены, да и через инет через ip тоже конектит зная логин пароль, но фаерами отрубается на раз

Да, это можно поставить в настройках, при установке службы на удалённый компьютер. По умолчанию — служба не удаляется.

DWMRCS - как раз та самая служба на клиенте (в консоли services.msc называется "Dameware mini remote control") которая запускается и потом стопается на клиенте. Можно конечно в самой dameware настроить удаление сервиса при отключении (я так и сделал) - но файлы всё равно не удаляются - так выбор что чем чистить остаётся только батнег.
У dameware есть большой недостаток: если раньше к клиенту конектились другой версией/с другими дефолтными настройками (остался стопнутый сервис и файлы) даже если подтвердить обновление клиента - не перетераются все настройки, у юзера пикает звук, появляется окошко с warning`ом, иконка в трее. Моя задача не попалиться при этом, поэтому и хочу написать батник который почистит клиента перед этим.

DJ Mogarych
Жаль sc есть только под XP/2003, а под 2k нету :(

V0van3, у вас в скрипте DWMRSC и DWMRCS. Буковки местами поменялись.

был у меня случай - начал начальник к админам подключаться. ну мы как бы в курсе. он предупредил.
Что сделал я:
во время подключения появляется дополнительный процесс.
в мониторе ресурсов я поставил наблюдение за этим процессом.
как только время его работы превышало 1 секунду - я получал сообщение от монитора...
W + L или W + D - пусть смотрит что хочет. Я либо ушёл к пользователю, либо скрыл всё так как получил "ошибку" - то самое сообщение от монитора. Он спросил - что за ошибка, я ответил - я хз, может какое приложение сбоит.
вот так и работали.
Думаю, в 7\2008R2 с эти по проще. наверное там можно скрипты запускать на события.

тему апаю, потому чта искал информацию о DameWare. Может кому пригодитсо.

Можно вот такой скриптик в автозагрузку поместить:

Когда запущена служба Dame Ware mini Remote Control скрипт каждые 5 сек выводит сообщение об этом.
Т.е., вы режим запуска службы DW ставите "Вручную", пкм -> "Остановить".
Запускаете этот скриптик (помещаете в автозагрузку и перезагружаетесь) и если кто-то к вам попытается подключиться, служба DW запустится и вам будет выдаваться сообщение.

Дальше уже можно посмотреть netstat, чтобы определить, кто подключился...