-
А как вам вот такие правила
Здравствуйте! то что я пишу вероятно уже рассматривалось во многих темах, но помоему тут самое необходимое и собранное воедино описание
http://people.overclockers.ru/AMDNVIDIA/record6 , хочу попробовать настроить, но это больше подходит для домашнего ПК, что не нужно менять для рабочего?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Эти настройки не стоят тех затрат на время потраченное на их настройку, так как не сказано ничего о работе под ограниченной учётной записью. Первый же нормальный троян изменит настройки как ему удобно и плевать он хотел какие настройки вы поставили и ещё заберёт у вас права администратора, чтобы знали как гулять под админом.
Насчёт рабочего компьютера, то обратиться к местному администратору- он должен знать как лучше настроить в данной организации(что нужно, а что нет в конкретном случае), это его обязанность.Если не знает,то заменить на администратора, который знает.
-
-
Абсолютно согласен с drongo, а за то, что Вы, meir, как пользователь работаете с правами Админа (каламбур), я бы дал вашему админу нагоняй-другой для профилактики, потому что настройка и ПБ это его хлеб, входит в круг обязаностей и под ответственность.
Другими словами - это не Ваша забота (если Вы не админ или ЧП).
Нас объединяет то, что разъединяет
-
Сообщение от
NRA
Абсолютно согласен с drongo, а за то, что Вы, meir, как пользователь работаете с правами Админа (каламбур), я бы дал вашему админу нагоняй-другой для профилактики, потому что настройка и ПБ это его хлеб, входит в круг обязаностей и под ответственность.
Другими словами - это не Ваша забота (если Вы не админ или ЧП).
Как говорит наш админ "сначала тебе ограничишь права, потом опять понадобяться админские", да еще у нас есть начальники, которые постоянно зовут меня поставить им игрушку (как таким ставить под пользователем).
А ограниченная учетная запись это "Пользователь" ? И под кем лучше работать, под пользователем или опытным пользователем?
Последний раз редактировалось meir; 29.12.2008 в 06:36.
-
А ограниченная учетная запись это "Пользователь" ? И под кем лучше работать, под пользователем или опытным пользователем?
под Гостем
-
Сообщение от
meir
Здравствуйте! то что я пишу вероятно уже рассматривалось во многих темах, но помоему тут самое необходимое и собранное воедино описание
http://people.overclockers.ru/AMDNVIDIA/record6 , хочу попробовать настроить, но это больше подходит для домашнего ПК, что не нужно менять для рабочего?
Описанное является сборищем "мха с болота", причем совершенно бессистемным. Поэтому оно не подходит никуда, не для домашнего ПК, и не для рабочего ... Примеры - автор пишет (точнее нажимает Ctr+C/Ctrl+V):
1. "...включим очистку pagefile...". Правильно, оно где-то видел, что это круто Но что это дает для домашнего ПК ?! Да ровным счетом ничего, кроме тормозов при перезагрузках и выключении (pagefile - это файл подкачки, и в теории злоумышленники похитив ПК или взламывая его "по месту" путем вытаскивания HDD могут проанализировать pagefile и с некоторой очень небольшой вероятностью в 1-2 гигабайтах мусора найти что-то для них ценное). Подобная мера имеет смысл на ПК, где обрабатываются секретные документы (например, гостайна), но для домашнего ПК это нонсенс, для рабочих тоже (если злоумышленники могут проанализировать гигабайты в pagefile, то они имеют доступ к диску компьютера и при желании натворят чудес в любом случае).
2. "Запрашивать пароль при возвращении к работе из режима ожидания" - аналогично. Т.е. стоит домашний ПК, и вдруг уходит в режим ожидания (что само по себе редкость для домашнего ПК, это же не ноутбук). И при выходе из него ПК спрашиват пароль. Возникает вопрос - зачем ? Это же домашний ПК ... я понимаю, что увидев включенный незапароленный терминал кошка может воспользоваться ситуацией и отдать пару команд Но если рассуждать серьезно, то это ерунда.
3. Про политики IP безопасности на _домашнем_ ПК я вообще молчу, это полный нонсенс. Если уже строить сетевую защиту, то на ПК нужен Firewall (любой, хотябы и встроенный), а не расписывание политик. От трояна то эти политики не спасут, а если нужна защита от проникнования извне, то достаточно в свойствах "смотрящего в сторону Инет" сетевого соединения банально отключить клиента для сетей Microsoft и службу доступа к файлам и принтерам MS ....
И при этом про ограничение прав - тишина, про отключение автозапуска - тишина.
Последний раз редактировалось Зайцев Олег; 29.12.2008 в 09:31.
-
-
Какой-то "Олег". Не Бойцев ли?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
А ограниченная учетная запись это "Пользователь"?
да, это достаточно ограниченная и вполне подходит для работы.
А Опытный Пользователь по умолчанию может создавать файлы в \Windows\ и устанавливать ~ 85% программ.
Здесь уже давали ссылку на
Базовая концепция системы безопасности ОС Windows семейства NT
здесь более подробно рассматривается вопрос ограничения прав и настройка для работы тех программ, которые требуют более высоких прав для корректной работы. Эта статья намного ценнее той банальщины.
Подобная мера имеет смысл на ПК, где обрабатываются секретные документы (например, гостайна)
для таких систем имхо лучше использовать криптографические методы. Сейчас и винчестеры с аппаратным шифрованием можно приобрести, для дополнительной защиты.
и с некоторой очень небольшой вероятностью в 1-2 гигабайтах мусора найти что-то для них ценное)
я проверял несколько раз, и поиском находил пароли, вводимые в программы хранители паролей. Но, эффективность удаления pagefile ещё надо посмотреть... Поэтому если у пользователя какая то особенно важная информация и комп могут похитить (изъять) - в первую очередь надо рассматривать криптографические методы.
-
Последний раз редактировалось drongo; 29.12.2008 в 12:40.
Причина: Добавлено
-
-
Большое спасибо, что не остались в стороне от моего вопроса, Настрою компы в моем кабинете, согласно данных советов. Надоело раз в неделю запускать AVZ ,Админу пофиг, а у меня план горит(вот это сказал ).
-
в дополнение статье Базовая концепция системы безопасности ОС Windows семейства NT
- вместо мороки с аудитом можно использовать RegMon и FileMon
А то, что никак не получается заставить работать под юзером, можно запускать скриптом, используя CPAU.
-
А то, что никак не получается заставить работать под юзером, можно запускать скриптом, используя CPAU.[/QUOTE]
А как можно запустить ярлык интернета с правами администратора?
А то я настроил компы в кабинете на пользователей, появилась только одна проблема - На одном компе стоит программа "Контур экстерн" налоговая отчетность через интернет, программа запускается через internet explorer (созданный ярлык), сейчас пишет ошибку, а запускаю под админом все нормально.
Добавлено через 1 час 8 минут
Все! Разобрался! через программу AdmiLink - указываю IE? а дальше через избранное
Последний раз редактировалось meir; 30.12.2008 в 20:56.
Причина: Добавлено
-
IE под админом это хуже всего, не забудьте закрывать данное окно его перед гулянием по сайтам.
А лучше попросить разработчиков совета -как заставить данную программу( "Контур экстерн" ) работать под ограниченной учёткой.
-
-
Сообщение от
drongo
IE под админом это хуже всего, не забудьте закрывать данное окно его перед гулянием по сайтам.
А лучше попросить разработчиков совета -как заставить данную программу( "Контур экстерн" ) работать под ограниченной учёткой.
Сегодня приходила девушка, которая обслуживает "Контур экстерн", я у нее спросил, -как заставить программу работать под ограниченной учетной записью, она сделала большие глаза и спросила, что такое "Ограниченная учетная запись", на этом наш диалог закончился. Пока выкрутился так - поставил высокую безопасность, а адрес контура прописал в надежные узлы.
-
приходила девушка, которая обслуживает "Контур экстерн", я у нее спросил, -как заставить программу работать под ограниченной учетной записью, она сделала большие глаза
так они только обновлять базы копированием могут. Что с них взять... С такими вопросами лучше обратиться к специализированной техподдержке. Конкретно в "контуре" - что то с сертификатами связано. Т.е. описанные в мануяле процедуры по установке сертификатов попробовать провести в ограниченной учетке, и если что мешает - разрешить политиками.
Хотя и с надежными узлами - неплохо получилось...