Существует много программ удаленного администрирования (управления рабочим столом)
Одна из них - DameWare.
Как можно защитить свой компьютер от того, что сисадмин, с помощью такого рода программ, залезет и будет глядеть, что у меня на экране?
Машина в домене.

Hedgehogs
Методы защиты одни и те же от всех шпионов: очистить автозагрузку от всего лишнего и прошерстить список служб на всё подозрительное.

Не значит ли это, что админ не может просто так посмотреть в мой экран, ему обязательно требуется установить ко мне на компьютер какую-нибудь программу?
И в это м случае я ее смогу увидеть?
Или программы удаленного администрирования сами смотрят издалека, без соответствующего софта у меня?

Hedgehogs
нужен сервер у вас, у админа клиент
если сервак у вас вырубить в автозагрузке, то админ не сможет наблюдать
если это служба, то вырубить её в службах, плюс любой файрвол

Во-первых сразу надо оговориться Hedgehogs, раз твой компьютер в домене, какие локальные права ты имешь? Администраторские, опытный пользователь, пользователь?

ИМХО- Защититься можно лишь с помошью установки стороннего брандмауэра с жёстко заданными политиками, т.к. DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента. Установка и запуск происходит удалённо. При этом DameWare NT Utilities позволяют при отключении автоматически устанавливать, запускать, останавливать и удалять службы. Ты можешь даже ничего не знать об этом, а к тебе подключатся, посмотрят и отключатся.

rizz
Обычно в доменной среде не практикуется давать пользователям права на установку сторонних брандмауэров, поэтому фраза "плюс любой файрвол" может прозвучать как издевательство, также как и отключение/остановка службы или изменение автозагрузки.

DameWare и ряд других средст удалённого администрирования не нуждаются в локальной установке клиента
тогда это раздолье для хакеров, если к любой машине можно подключиться без установки на ней соответствующего сервера, может я чё то не понимаю как это делается в сетях но принцип клиент-сервер работает везде, и пока сервер не ответит или его вобще нет, клиент (т.е. админ) ничего не получит

rizz администратор домена по умолчанию входит на всех рабочих станциях своего домена в группу локальных администраторов. Поэтому пройдя соответственно авторизацию на рабочей станции получает администраторские привилегии, и уже обладая ими производит удалённую установку/удаление клиентской части программы (сервиса) удалённого администрирования. Может я недостаточно чётко выразил свою мысль, говоря "не нуждаются в локальной установке клиента", я имел в виду предварительную интерактивную (т.е. лично самому и руками) установку на рабочих станциях.

Само собой администраторы домена используют различные механизмы защиты от получения сторонними лицами административных привилегий.

P.S. Имея администраторские права к любому компьютеру можно заходить туда практически как к себе домой.

Hedgehogs,
Если вопрос идет о компьютере, что стоит у вас на работе, то вам перед претворением в жизнь советов, данных выше, следует еще раз изучить свою должностную инструкцию (а при ее отсутствии - правила внутреннего распорядка вашей компании). Если там есть пункт, который запрещает модификацию (программную/аппаратную) рабочего компьютера, то ваши действия могут привести к санкциям со стороны руководства (и администраторов тоже). Впрочем, если ваша работа подразумевает повышенный уровень безопасности, и у вас есть обоснованные доказательства этого, то обращайтесь к своему руководству насчет запрета мониторинга вашего компьютера.

пытался написать скрипт который выносит остатки dameware на клиенте (моя задача - без reboot)

зачем это нужно: апгрейд версии (стандартными средствами получаются косяки с конфигами если он существенно менялся), вычистить машину чтобы не осталось следов коннекта по dameware, чтобы слишком хитрые пользователи не могли доказать факты слежки.

Зато случайно достиг вам нужного эффекта: из-за того что сервис выносится не полностью - проблема access denied ключей реестра повторно подключиться к этой машине по dameware нельзя - вылетает ошибка при попытке проинсталлировать сервис средствами DameWare

скрипт не ругать - это пробная бэта версия т.к. запускается на самом клиенте, если смогу победить сервис - переделаю на удалённый запуск.

@rem Очистка клиента от остатков после подключения DameWare
@rem Copywrite by Vovan

set ClientWinDir=c:\winnt
set cmdutilspath=o:\scripts

@rem права на сервис
%cmdutilspath%\subinacl /SERVICE "DWMRSC" /GRANT="%username%"=TO

@rem останавливаем сервис
net stop DWMRSC

@rem удаляем файлы с диска
del /f/q %ClientWinDir%\system32\dwrck.dll
del /f/q %ClientWinDir%\system32\dwrcset.dll
del /f/q %ClientWinDir%\system32\dwrcshell.dll
del /f/q %ClientWinDir%\system32\dwrcs.exe
del /f/q %ClientWinDir%\system32\dwrcst.exe
del /f/q %ClientWinDir%\system32\dwrcst.exe.manifest
del /f/q %ClientWinDir%\system32\dwrcs.ini

@rem выносим сервис из реестра
rem subinacl /keyreg \\127.0.0.1\HKEY_LOCAL_MACHINE\SOFTWARE
%cmdutilspath%\subinacl /keyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS\ /grant="everyone"=F
%cmdutilspath%\Regini.exe regini.ini
reg del HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWMRCS /FORCE
reg del HKLM\SYSTEM\CurrentControlSet\Services\DWMRCS /FORCE

естессно нужны права локального админа

Есть вопрос: как удалить автоматически сервис/legacy device driver средствами bat/reg/inf файлов?

Dameware нельзя установить удаленно, если у устанавливающего нет административного пароля к твоему компьютеру (локальных или доменных). Так же фаэр помогает, но в свое время zone alarm не предотвратил установку, однако спросил разрешения на доступ сервису dameware в сеть.

Есть вопрос: как удалить автоматически сервис/legacy device driver средствами bat/reg/inf файлов?
sc delete DWMRCS

V0van3, а что за DWMRSC в вашем скрипте?

сколько не смотрел не вижу в виндовых службах DameWare, похоже она эту службу удаляет когда отконнекчивается, самая зверская прога для локальных сетей когда знаешь логин пароль, видит все диски даже те которые не расшарены, да и через инет через ip тоже конектит зная логин пароль, но фаерами отрубается на раз

она эту службу удаляет когда отконнекчивается »
Да, это можно поставить в настройках, при установке службы на удалённый компьютер. По умолчанию — служба не удаляется.

DWMRCS - как раз та самая служба на клиенте (в консоли services.msc называется "Dameware mini remote control") которая запускается и потом стопается на клиенте. Можно конечно в самой dameware настроить удаление сервиса при отключении (я так и сделал) - но файлы всё равно не удаляются - так выбор что чем чистить остаётся только батнег.
У dameware есть большой недостаток: если раньше к клиенту конектились другой версией/с другими дефолтными настройками (остался стопнутый сервис и файлы) даже если подтвердить обновление клиента - не перетераются все настройки, у юзера пикает звук, появляется окошко с warning`ом, иконка в трее. Моя задача не попалиться при этом, поэтому и хочу написать батник который почистит клиента перед этим.

DJ Mogarych
Жаль sc есть только под XP/2003, а под 2k нету :(

V0van3, у вас в скрипте DWMRSC и DWMRCS. Буковки местами поменялись.

был у меня случай - начал начальник к админам подключаться. ну мы как бы в курсе. он предупредил.
Что сделал я:
во время подключения появляется дополнительный процесс.
в мониторе ресурсов я поставил наблюдение за этим процессом.
как только время его работы превышало 1 секунду - я получал сообщение от монитора...
W + L или W + D - пусть смотрит что хочет. Я либо ушёл к пользователю, либо скрыл всё так как получил "ошибку" - то самое сообщение от монитора. Он спросил - что за ошибка, я ответил - я хз, может какое приложение сбоит.
вот так и работали.
Думаю, в 7\2008R2 с эти по проще. наверное там можно скрипты запускать на события.

тему апаю, потому чта искал информацию о DameWare. Может кому пригодитсо.

Можно вот такой скриптик в автозагрузку поместить:

strComputer = "."
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Do While True
Set colRunningServices = objWMIService.ExecQuery("Select * from Win32_Service Where Name = 'dwmrcs'")
For Each objService In colRunningServices
if objService.State = "Running" Then
MsgBox objService.DisplayName & " Service is " & objService.State
'WScript.Quit()
'WScript.Sleep(1000 * 300)' 5 min
End If
Next
WScript.Sleep(5000)
LoopКогда запущена служба Dame Ware mini Remote Control скрипт каждые 5 сек выводит сообщение об этом.
Т.е., вы режим запуска службы DW ставите "Вручную", пкм -> "Остановить".
Запускаете этот скриптик (помещаете в автозагрузку и перезагружаетесь) и если кто-то к вам попытается подключиться, служба DW запустится и вам будет выдаваться сообщение.

Дальше уже можно посмотреть netstat, чтобы определить, кто подключился...