Защита информации на компьютере.

Feb. 12th, 2008 10:01 pm
[identity profile] dicentra-specta.livejournal.com posting in [community profile] useful_faq
Дано: рабочий компьютер в локальной сети, подключена возможность удаленного доступа со стороны администратора сети. К сожалению возникла вероятность утечки данных. Посоветуйте, какими средствами системы (Windows XP) или какими программами можно отследить удаленный доступ к файлам на компьютере - осуществлялся ли, когда и к каким документам.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2008-02-12 07:11 pm (UTC)
From: [identity profile] alaft.livejournal.com
А админ даст установить проги?))) Самый надежный вариант - поставить любой фаервол и закрыть доступ по локалке. Или просто отслеживать. Самый простой способ хранить инфу "под замком", которую не требуется постоянно обновлять - запаролить в архиве

Date: 2008-02-12 07:16 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
не факт, что даст установить... Можно ли закрыть доступ по локалке средствами XP? И как лучше отслеживать?

Date: 2008-02-12 07:21 pm (UTC)
From: [identity profile] jgbobby.livejournal.com
Можно включить встроенный в winxp sp2 брэндмаузер.. Но это далеко не панацея.

Date: 2008-02-12 07:27 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
Актуально в таком порядке: 1. отследить 2. закрыть доступ. Можно попробовать сторонние программы - посоветуйте, что именно.

Date: 2008-02-12 07:55 pm (UTC)
From: [identity profile] krolchatina.livejournal.com
Кому доступ то закрыть?
Можно аудит включить в принципе.

Date: 2008-02-12 08:00 pm (UTC)
From: [identity profile] cepreu.livejournal.com
посмотрите Net Watcher (http://www.kilievich.com/rus/fwatcher/)

Date: 2008-02-12 08:32 pm (UTC)
From: [identity profile] alb-wiki.livejournal.com
а посвободнее прогу? В Винде 98 была такая штучка, как Net watch для просмора. Есть ли что-то такое в ХР?

Date: 2008-02-12 09:50 pm (UTC)
From: [identity profile] guest-o.livejournal.com
compmgmt.msc, в ветке про "общие папки".

Date: 2008-02-13 03:22 am (UTC)
From: [identity profile] alb-wiki.livejournal.com
спасибо. Даже попробьівал

Date: 2008-02-12 09:25 pm (UTC)
From: [identity profile] happybullshit.livejournal.com
>>подключена возможность удаленного доступа со стороны администратора сети
Это как ?
1) Админский лог и пасс ?
2) Установлена любая прога ремоут контроля ?

Хотя ответ на ваш вопрос - НИКАК.
если ему надо будет - он возьмёт



Date: 2008-02-12 09:32 pm (UTC)
From: [identity profile] alaft.livejournal.com
Самый простой вариант - все папки сетевые, расшарены для админа))

Хотя это канеш извращение, проще какой-нибудь радмин поставить. Тогда у автора поста есть возможность его "случайно" испортить)))

Date: 2008-02-12 09:52 pm (UTC)
From: [identity profile] guest-o.livejournal.com
> Самый простой вариант - все папки сетевые, расшарены для админа))

Зачем? admin shares никто не отменял, т.е. всякие C$, D$, etc есть всегда, если не принять специальных мер.

Date: 2008-02-12 09:57 pm (UTC)
From: [identity profile] alaft.livejournal.com
Скорее нужны специальные меры, чтобы это появилось. Что в данном случае вовсе не исключено, если установкой всех прог занимается админ.

Date: 2008-02-13 10:26 am (UTC)
From: [identity profile] xytop.livejournal.com
все диски в винде начиная с нт автоматом расшариваются. и к ним можно получить доступ извне зная админский пароль.

Date: 2008-02-12 09:36 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
Ну да... Программу для работы пришли поставить - заодно и... Потому и возник вопрос, так как именно сейчас на этом компе проходит слишком важная документация. Понятно, что закрыть доступ практически невозможно, но хотелось бы хотя бы иметь возможность как-то задокументировать доступ к файлам с другого компьютера. Се ля ви... А точнее - a la gerre comme ​a la gerre :(

Date: 2008-02-12 10:08 pm (UTC)
From: [identity profile] happybullshit.livejournal.com
Кто приходил - если аваш админ, одно дело.
Если левый чел - то немного проще.

Date: 2008-02-12 10:15 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
В том то и дело, что наш админ. Просто, не вдаваясь в детали - уж в черезчур подходящее время он пришел:( Посему велика вероятность того, что не только для установки не самой необходимой программы.

Date: 2008-02-12 10:29 pm (UTC)
From: [identity profile] happybullshit.livejournal.com
завтра можете в асю стукнуть попробую обьяснить что можно сделать

Date: 2008-02-12 10:34 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
Спасибо! Завтра постучусь.

Date: 2008-02-12 10:13 pm (UTC)
From: [identity profile] alaft.livejournal.com
Программа для работы требует наличия сети или инета в это время? Если нет, то есть муторный, но радикальный способ: отключать сетку, а после работы все файлы в архив с паролем. Хотя канеш гемор еще тот))

Date: 2008-02-12 10:19 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
После работы все файлы в архив с паролем - вариант уже на крайний случай. Похоже, так и придется делать. Но очень бы желательно зафиксировать попытки доступа. Ибо прецеденты такого рода были, судя по всему...

Date: 2008-02-13 05:33 am (UTC)
From: [identity profile] hoolygator.livejournal.com
регулярно проверяйте, есть ли административный
доступ к дискам:
net share

например:
c:\>net share

Общее имя Ресурс Заметки

-------------------------------------------------------------------------------
print$ C:\WINNT\system32\spool\drivers Драйверы принтеров
ADMIN$ C:\WINNT Удаленный Admin
C$ C:\ Стандартный общий ресурс
IPC$ Удаленный IPC
Команда выполнена успешно.


выполните:
net share c$ /del
net share d$ /del
net share e$ /del
...

в результате не должно быть дисков C$, D$ и т.п.


Вообще, у вас не должно быть прав локального
администратора, значит, в любом случае, ничего
не удастся с этим поделать.
Это изначально должно решаться организационным
путём - через начальство: мол, важные документы,
дайте права администратора, чтобы закрыть доступ
и контролировать его.

Date: 2008-02-13 10:29 am (UTC)
From: [identity profile] xytop.livejournal.com
яб будучи админом за такое бил бы по голове долго и упорно. а потом нажаловался соответствующему отделу в фирме и с таким самодельщиком бы хорошо поговорили. автору поста: если у вас есть подозрения на несанкционированный доступ к вашему компу, то поговорите об этом с вашим непосредственным начальником.

Date: 2008-02-13 12:17 pm (UTC)
From: [identity profile] hoolygator.livejournal.com
За что по голове? Если бы у пользователя получилось
выполнить команду net share d$ /del, то настучать по
голове нужно было бы вам. Если б вы были админом :)

Date: 2008-02-13 12:26 pm (UTC)
From: [identity profile] xytop.livejournal.com
яб обоих уволил бы ;)

Date: 2008-02-13 06:50 pm (UTC)
From: [identity profile] yu-xuan.livejournal.com
всячески поддерживаю!

Date: 2008-02-13 07:01 pm (UTC)
From: [identity profile] dicentra-specta.livejournal.com
:) Все так. Только к начальнику неплохо бы не с подозрениями, а с доказательствами...

Date: 2008-02-13 07:56 am (UTC)
From: [identity profile] luckywalrus.livejournal.com
Как еще один из вариантов, убрать доступ "для Администратора" к вашей особо ценной папке. Конечно же, в любой момент он может этот доступ включить обратно, но я бы, например, делал бы такое разве что из любопытства. Админу, как врачу - доверять нужно :-)

Если это не так, то еще одна убойная весч - использовать стороннюю программу криптования дисков, например, PGP-диск. При этом шифровка/расшифровка происходит "налету", фактически файл монтируется как обычное устройство и Вам работать будет удобно. Сторонний пользователь же увидит криптованный файл, с которым при хорошем выборе ключа, вряд ли что-то сможет сделать за обозримые затраты времени. "Админовской" шары для таких дисков не создается...

К сожалению, для установки все равно нужны админовские права...
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only