Удаленное администрирование

[0832.livejournal.com]

Доброе утро!

Есть локальная сеть с админом во главе. Какие службы нужно отключить на одном из компов этой сети, чтобы стали невозможными его удаленное администрирование и просмотр того, что делает пользователь (радмин и прочие приблуды)?

Спасибо неравнодушным

UPD: вопрос снимается.

Comments

[vld-sergio-jr.livejournal.com]

А это и есть по делу. Если это офисная сеть, и компьютер, предоставленный вам работодателем, для выполнения работ, то системный администратор имеет право, более того, это его обязанность, контролировать все аспекты работы систем. И у нормального сисадмина слишком много дел, и бесконтрольная рабочая станция может принести слишком много проблем - от банальной вирусной атаки и до.., чтобы играться с разными умниками в игру "кто кого наё..". Если же админ, например, придурок, и его действия выходят за границы этичного поведения, то конфликт надо переносить в плоскость административную. Как только вы начинаете пытаться его обмануть, вы сразу становитесь подозрительной стороной и на вас можно вешать всех собак, начиная с торговли коммерческой тайной оптом и заканчивая распространением СР.

[0832.livejournal.com]

Так существует ли возможность отрубить доступ к компу или нет?
Ничего аморального совершать не планируется.

[uniqknown.livejournal.com]

Считайте, что такого, чтобы админ потом не имел административных (в смысле, через руководство) средств воздействия - нет.

Вопросы, подобные вашим, регулярно задаются. Ответ на них один - если админ неадекватен, нужно давить на него через руководство или напрямую, во всех остальных случаях разбираться нужно с собой.

[0832.livejournal.com]

Кстати, админ адекватен)
Хочется скрыть личное общение.

[uniqknown.livejournal.com]

Ну, если бы у меня стояла задача читать переписку моих пользователей, то до удалённого наблюдения за ними дело бы не дошло, чесслово :)
Значимая часть читается на роутере, если нужно, остальное можно сохранять локально.

Если есть значимые причины админа подозревать - к руководству.
Если причин нет - к психологу :)

[0832.livejournal.com]

Одмин любит открывать чужой рабочий стол)

[uniqknown.livejournal.com]

Не назвал бы это адекватностью, ну да ладно.

Ниже хорошо описали, что можно делать и как. Единственное - никто не поинтересовался деталями того, на чем Вы работаете, в некоторых (очень редких, правда) случаях подавляющее большинство советов ничего не даст от слова совсем.

[vld-sergio-jr.livejournal.com]

Судя по уровню вопроса - нет.
Потому что для того чтобы ответить утвердительно, надо знать:
ОС, наличие AD, груповых политик и так далее;
конкретно какие средства удаленного контроля практикуются в вашей сети;
уровень параноидальности настроек;
ну, и наконец, что именно планируется сокрыть; не забывайте, что все внешние движения вполне себе могут писаться на роутере - посещенные сайты, открытые порты, и все, что фантазия админа позволит...

[0832.livejournal.com]

Планируется скрыть личное общение. Сайты и проч. не интересуют.
Но, судя по развернутости требований, оно того не стоит.
Спасибо)

Планируется скрыть личное общение

[m-ag-us.livejournal.com]

В корпоративной почте?)))

А если нет, то вроде как есть на флешках аськи и иже с ними.

[0832.livejournal.com]

В аське. Одмин любит открывать чужой рабочий стол)
Флешка не поможет.

[vld-sergio-jr.livejournal.com]

админ может спокойно снифить ваш трафик в аське, не открывая рабочий стол, внезапно.

[0832.livejournal.com]

Доподлинно известно, что он это делает именно так, как я написал.

[vld-sergio-jr.livejournal.com]

три хаха на "доподлинно". У любого админа масса инструментальных средств для контроля работы компьютеров компании, сети и систем. Вы даже 5% не знаете.

[0832.livejournal.com]

Что ж вы такой упрямый, а?
Админ админу рознь.

[vld-sergio-jr.livejournal.com]

...я не упрямый. я опытный. ТО что вам админ кажется недотепой и глупым новичком - то это может просто казаться. Еще раз, если вы не связаны с администрированием сетей и систем, то вы и 5% не знаете и не понимаете. Там может стоять роутер под юниксом, настроенный удаленно фрилансером, который не забыл настроить логгирование всего левого, с отсылкой информации на почту директору. И таких вариантов могут быть сотни.

[0832.livejournal.com]

Ок, не буду спорить)

Одмин любит открывать чужой рабочий стол)

[m-ag-us.livejournal.com]

Не понимаю суть вопроса.

И не думаю, что именно "любит". Скорее выполняет требование руководства.

Теперь сценарий. По предположенному. Находим мы сервис. Сносим его. Админ пытается подключиться. Ни в какую. Выясняет, что сервис снесён пользователем. Пишет докладную начальству. Вам крышка.

Другой вариант: Админ - маньяк. В исконном смысле слова. И наблюдает за десктопами в своё собственное удовольствие.
То же, но админ не пишет докладную начальству. А перекрывает аську. Или ещё какое зло придумывает. Ну, мало ли.
Что тогда?

Кста, если он в самом деле адекватен, то почему бы просто не спросить его, зачем он пялится на десктоп?

[vld-sergio-jr.livejournal.com]

Да, в том числе потому, что вы общаться будете все равно через роутер сети, на котором стоит например прокси, который в том числе пишет логи, и потом админ с точностью до минуты может просмотреть, кто, куда и как ходил по инету. Более того, ничто не мешает ему сниффить ваш трафик целиком, читая сообщения и ответы собеседника.

[shackled-koenig.livejournal.com]

Кстати в своё время решил эту проблему так:

-отрубился от офисной сети
-воткнул USB 3G модем
-в рабочую сеть (1с, почта и прочее) заходил через VPN.

Кстати и сейчас так сижу, у меня отдельный канал от провайдера, коннекчусь к нему на работу через VPN.
Удобно и универсально.

[vld-sergio-jr.livejournal.com]

Да можно и сову на глобус натянуть. Но.
1. VPN. или его отсутствие.
2. Как на это поглядит руководство. Все таки такой движ не должен пройти незамеченым. У меня как минимум arpwatch будет нервничать, да и логи vpn никто не отменял.
Ну и так далее...

[shackled-koenig.livejournal.com]

Админ может позволить себе такое :)
да и без VPN никак - из дома работать приходится

Так существует ли возможность отрубить доступ к компу

[m-ag-us.livejournal.com]

Да, безусловно. Но для этого надо знать, как именно она была получена. Проще говоря надо знать, что задействовано для контроля.

Банально посмотреть, каким службам открыт доступ на машину. И закрыть.
Если авдмин установил неотслеживаемые штатными способами средства наблюдения, тогда сложнее. То есть возвращаемся к первому абзацу.

В любом случае Вы не сможете отключить свой компьютер от средств наблюдения так, чтобы наблюдающий не узнал об этом. Во первых.
А во вторых наблюдающий может и не наблюдать. А просто получать отчёты о Ваших действиях. Или отчёты об определённых Ваших действиях.

Подумайте о том, что будет, когда системный администратор доложит Вашему руководству о Ваших попыткак сделать на комьютере что-то, что не будет известно никому. Что подумает руководство? Какие действия предпримет?
И последний вопрос: оно Вам надо?

Если Вы действительно не собираетесь делать что-то в ущерб компании, то что Вас смущает, собственно? Пусть наблюдают.

[0832.livejournal.com]

Наставляете на путь истинный. Спасибо)