Как защитить компьютеры?
 

Здравствуйте уважаемые формчани. Мне нужна ваша помощь. Перейду сразу к делу. Я пришел на работу в гос. предприятие сис.админом. Заметил что все лазят где хотят в интернете качают все что хотят и т.д. хочу им сделать такую пакость. хочу заблокировать сайты на которых они лазят. Читал что можно это сделать в файле hosts. как можно сделать так что бы когда они заходят на сайт допустим Контакта то их перебрасывало на мой сайт где будет написано что доступ к сайту Вконтакте заблокирован? и второй вариант как заблокировать доступ к диске с(тут просто такая еще штука у меня на работе работает тётка у которой знакомый раньше до меня там работал и я просто не хочу что бы я все поставли все по блокировал а он прийдет и разблокирует ей). как сделать все так что бы ограничить в том что я написал при этом не пользуясь сторонними програмами так как на гос. учериждениях нельзя ставить ...

Так у вас же есть мощнейший сисадминский инструмент - Групповая политика...

_zerx_, ну в ней я допустим все выставлю! А можно как то эту политику потом под пароль что бы тот знакомый не отключил все что я установлю

Не отключит если у него не будет доступа конкретно к вашей машине.
Все машины вашей организации будут иметь ограниченные полномочия, кроме вашей. При любой попытке что-либо изменить пользователем любой машины, кроме вашей, он получит сообщение о недостаточных правах на выполнение изменения настроек с "пожеланием" обратиться к системному администратору, то есть к вам)))

так это ж политику нужно на каждой машине сделать или только на сервере?

Если нет сервера AD, то на каждой машине. Вообще, лучше начать с понижения прав пользователей - так они не смогут ни установить ничего лишнего, ни поменять настройки системы. Во-вторых, блокировать сайты на каждом компе - очень геморно, лучше заведите интернет-шлюз и там всё настраивайте.

SergiuZ, а можно немного по подробнее как это все организовать???

Это довольно обширная тема, но если вкратце: по-умолчанию сразу после установки Windows создаётся пользователь с правами Администратора, что, конечно, удобно при настройке системы и установке программ, т.к. разрешено ВСЁ; с другой стороны - это ОГРОМНАЯ дыра в безопасности, т.к. администраторскими правами могут воспользоваться и вредоносные программы, и злоумышленники. Ваша задача: создать на каждом ПК учётную запись с ограниченными правами, а на Администратора поставить пароль и чтобы все ваши пользователи работали из-под ограниченной учётной записи. Далее при помощи групповых политик настраиваете дополнительные ограничения - доступ к диску С:, например.
Вообще, здесь и на форуме, и на сайте много информации по этому и многим другим вопросам.

Искренне уверен, что начальство "гос. предприятиея" недолго думая вышвырнет на улицу подобного "сисадмин0", а сотрудники вдогонку смачно набьют ногами табло этому "уважаемому" :lol:
да, я уже понимаю, что товарищ троллит, но вот, не удержался повёлся)))

аьихан, это вы сейчас о чем?
SergiuZ, Я вас понял буду пробывать что то сворганить

Уважаемый mseregax100,
Для решения Ваших проблем необходимо
1- Сменить все пароли
2- Забрать права администратора у пользователей
3- Ввести всех в домен (если этого не сделано)
4- Настроить основной шлюз сети и сделать связку squid+dansguardian
5- Настроить политику "Ограниченного использования программ"

Это минимальное количество пунктов.

Пускай лазают, может трафик безлимитный. Если ты это сделаешь без команды ("В чужой монастырь со своим уставом не ходят") свыше, то для тебя, это может кончиться плачевно.

zai, Позвольте не согласиться.
Даже если выгонят с работы то это будет гораздо лучше чем каждую неделю чистить компьютеры от вирусов и получать нагоняев за потерянную информацию и простой.
К тому же несмотря на безлимитный трафик он все равно ограничен тарифным планом и если пользователи используют торрент то это забивает канал и другие пользователи не могут комфортно использовать интернет.

Уважаемые Rezor666,
Можете мне обьяснить немного подробнее об этих пунктах
3- Ввести всех в домен (если этого не сделано)
4- Настроить основной шлюз сети и сделать связку squid+dansguardian
5- Настроить политику "Ограниченного использования программ"

zai, Rezor666, это почему меня выгонят с работы? Начальник сам разрешил заняться этим. Потому я лишь хочу обезопасить наши компьютеры от вирусов!!

mseregax100, Могу.
1- Подключение компьютера к домену
2- Squid или Squid для самых маленьких
3- DansGuardian или DansGuardian - лучшая контент-фильтрация
4- Software Restriction Policies или Как использовать политики ограниченного использования

Потому что пользователи Вас возненавидят.
Меня уже не навидят только за одну блокировку компьютера через 10 минут :laugh: Они и не догадываються что их ждет после новогодних праздников :biggrin:

Rezor666, все что они заметят это то что не будут работать некоторые сайты. А по поводу всего остального они ничего не устанавливают, только пользуются теми что уже установлены.

mseregax100, После блокировки сайтов у пользователей вход пойдут proxy и vpn, а их уже придеться блочить с помощью эвристики, Layer7 и SRP .

Rezor666, я что то не понял где это все нужно делать Squid?

mseregax100, Вам необходимо найти компьютер, желательно с 2 сетевыми картами, установить туда Linux, настроить NAT, установить пакеты squid + dansguardian, настроить.
На контроллере домена настроить групповую политику SRP

Rezor666, в общем наверное обойдусь только блокировкой диска С и сайтов

зачем так сложно? на фаерволе запрещается весь исходящий трафик, кроме с машины со сквидом. + исключения для начальства, админов и спец-программ.
и добавлю настройку squid 3 с одной сетевой картой в домене. Может работать на виртуальной машине. Зависит от нагрузки.
странный начальник... он должен был не разрешить, а должен был поставить вам эту задачу как первоприоритетную!
И вообще, если это не троллинг, как вы прошли через проверку 152 закона об охране персональных данных?

Потому что надежно.
Лучше один раз преодолеть сложность чем потом изобретать костыли потому что vpn пустили по 3128 порту, про прокси вообще молчу.

Не, мне и так пришлось время увеличивать т.к было много жалоб.
А вообще странные люди... Видимо из машины ключи тоже не вынимают когда на 10 минут в магазин уходят...

А после праздников их ждет squid + dansguardian, SRP и прочие админские радости :)

та к я и говорю про один раз - выход в интернет только через прокси.
клиент не сможет со своего компьютера подключится по VPN, потому что у него не будет выхода в интернет без прокси. А пустить клиента VPN через прокси - это как вы прокси сервер настроите...

Не понимаю - зачем это делать, если нет указания сверху? Просто для проявления собственного чувства власти? Есть отдел безопасности у вас?

Себе-то вы не будете резать интернет, как другим, не правда ли?

Можно на прокси прописать Яндекс.DNS.
Можно блокировать порнуху и вредоносные ресурсы через Каспера, например. Варианты есть.

Надо выносить вопрос на согласование и выпускать регламент. Сначала административные меры, и только потом уже технические.

mseregax100, "проблема", которая описана тобой-типична,так делают все! а тебя что, "жаба" душит от того что люди на халяву лазят в сети? ты оплачиваешь трафик? или хочешь показать, какой ты "крутой" и нажить себе врагов? во всяком случае эту твою "проблему" должен решать начальник конторы, но не ты! и не надо с первых дней работы так ставить себя перед людьми, они тебе еще пригодятся....

Ну право, коллеги, вы чего набросились на ТС? Автору советую сначала получить приказ от руководства, в идеале вообще издать локальный акт нормативный за подписью Вашего шефа и руководителя организации. А вот уже потом думать о технической составляющей вопроса. Из личного опыта: пока не пришел руководитель адекватно оценивающий работу Ит-подразделения, результат был нулевой. Сейчас обстановка гораздо комфортнее, работать стало значительно приятнее и интереснее.

Теперь о блокировках сайтов. С одной стороны это правильно, не надо на работе в контакте сидеть, играть в танчики и глядеть немецкое кино про сантехников. С другой стороны блокировать всё и вся это нехорошо. Помимо того, что к Вам будут плохо относиться коллеги (а это будет 100%). Всегда можно найти обходной путь. Например, телефон с интернетом, планшет, 3 или 4джи модем и личный ноутбук. Вы должны мотивировать людей (вернее не Вы, а соответствующие службы). Идти против запретов это наше всё, воспитание видимо такое. А поскольку у каждого дома есть компьютер, то это автоматически превращается его владельца в админа 80 уровня.

Резюмирую. Начните с бумаг и поддержки руководства, но лучше мотивируйте сотрудников.

Уважаемые коллеги,
Вы не забыли о том что такое должность "Системного администратора"? Это не человек который должен мотивировать сотрудников, а человек который должен заниматься серверами и решением технических проблем.
Разрешать пользователям использовать интернет по их усмотрению не только влечет сокрощение выпоненой работы, но и нарушает безопасность предприятия.
Хотят танки и vk? Пускай пишут служебку на внос личного ноутбука и использование его в личных целях в рабочее время и все это за подписью директора и службы безопасности.
А про согласие директора на блокировку я даже бы не заикался, достаточно ему один раз принести распечатку трафика за месяц.

Rezor666, Вы видимо не работали в госучреждении не разу. Это особенная культура. Другое дело, что сисадмину не надо путать личное и работу - а то как бывает, Васе танки, а Мише - нет ибо он недруг. Еще раз - обойти можно ВСЁ, при желании.

PS Не соглашусь, что сисадмин не должен мотивировать, хотя бы в части компьютерной мотивации. Помню один сотрудник у нас выключал ПК напрямую из розетки, ссылаясь "я лома так делаю и ничего", и мотивировали мы его долго и безрезультатно. Особенно он испугался, когда его данные "пропали". Вот это была мотивация )))

ТС еще раз - узнайте мнение руководителя и своего непосредственного начальник, от последнего лучше получить указание в письменной форме.

Rezor666, вашими устами да мёд бы пить! Всё правильно, но, как правило, право принятия решений имеют люди, которые технически не подкованы. И действовать через их голову чревато потерей места работы. Только убеждение и только действия в рамках существующей ситуации.

Работал.
Ничего особенного, было тоже самое что и везде.

Я бы просто заставил писать служебку.

Как правило я показываю директору месячный отчет и говорю
"Вася играл в такнки - просрали договор
Миша сидел в vk - потеряли клиента
Олег - остовался после работы, получал за это деньги, смотрел порно вместо работы"

После этого даже до самых тугих доходило очень быстро.

Но вот на новом месте работы у меня тоже есть проблемка...
Я запрещаю, другой администратор разрешает и аргументирует это тем что не надо сразу так строго. Видимо его устраивает ему сейчас на шею сели.
И вот из-за этой фигни у нас сейчас вирус по сети, после праздников буду ужесточать правила.

Rezor666, у меня к вам один вопрос: Вы в рабочее время сидите на форуме, личную почту смотрите и т.п.?

topotun32, Да.
Только я не играю, не сижу в вконтакте, не смотрю ютуб, не забиваю на работу, не качаю всякую хрень и не бегу потом к админам со словами "оно само сломалось".
Или вы думаете что я настолько изверг? :)
Если пользователь будет готов САМ обеспечить бесперебойную работу своего ПК и взять на себя полную ответственность за это то я с радостью ему открою ему все на свете.

Rezor666, по многим словам я с вами более чем согласен. Потому и решил этим заняться. С остальными учасниками что хочу сказать, как со мной люди ведут себя так и я с ними. Я не всем буду запрещать лазить где не нужно но и в тоже время я должен знать что и где они делают на своих компах. Ибо они качнут фильм принисут флеху с дома а там куча вирусни и что потом мне сидет разгребать.

Не надо так.
Запомните что Вы с ними лишь коллеги и не более того, а на все их выходки и провокации смотрите сквозь глаза.
Самая большая ошибка многих администраторов это когда они себе заводят любимчиков и врагов, с этого начинаються все беды и плохое отношения к Вам.

По поводу деталей начните сначала с
а потом

Хороший подход, т.е. нормальный интернет будет у того, кто тебе будет "лизать зад".
Молодец, и это правильно!!! Если что, то можно будет "настучать" начальству на тех, кто плохо тебе "лижет зад".
Для работы флешка не используется вообще, на них только фильмы можно перекачивать, так что ли? Щас дома у всех есть интернет и фильм в среднем перекачивается за 10-15 мин.

zai, не у всех есть дома интернет у нас это 1е, а 2-е у меня нету любимчиков. Как сказал Rezor666, это мои колеги. Я не собераюсь стучать никому. Я просто хочу быть нормальным сис.админом который занимаеться безопасностью компьютеров, а не ждем пока ему скажут а не порали нам защитить нашу сеть...
Rezor666, Можна как то интрукцию по этому поводу:
3- Ввести всех в домен (если этого не сделано)
4- Настроить основной шлюз сети и сделать связку squid+dansguardian
5- Настроить политику "Ограниченного использования программ"

3. Домен - это создать группу или как?
4. Вобще не знаю о чем идет речь.
5. Это все делать в "Локальная политика безопасности"?

Мда... До хорошего админа Вам как до небес...

Роль контроллера домена: Настройка контроллера домена
Ссылки я приводил, читайте.
Это делаеться в групповых политиках на контроллере домена.

P.S Как Вас вообще взяли штатным админом если Вы не знаете что такое контроллер домена?

Первым делом нужно заняться самообразованием, а не безопасностью, т.к. с такими знаниями админами не работают. Остается загадкой кто тебя взял на эту работу!!!

Когда я пришёл на свою первую работу, где у меня в трудовой было написано "системный администратор", я тоже не знал, что такое домен. Но там его и не было. Потом я купил книжку по MSCE 2003, и уже сделал домен, автомонтирование сетевых дисков, общее хранилище документов и т. п.

DJ Mogarych, Мне хватит этого? http://nnm.me/blogs/kibo9000/knizhna...r_2003_6_knig/

mseregax100, Для понимание основ - да
Но лучше для начала послушайте курсы

Rezor666, какие курсы? Мне намного проще обучаться по видео урокам. поищу может найду такие тогда будет еще легче понять.

Книги — наше всё ;).

mseregax100, Вы работаете один и ИТ подразделении или у Вас есть на работе коллеги? Инструукция по работе у Вас имется? Помнится о Вашем начальнике шла речь, он тоже по ИТ специализируется?

Иногда книги очень тяжелы для понимания.
А рассказчик может указать на нюансы и.т.д

А может и опустить то, что ему покажется несущественным.

Iska, Так после лекции можно и книгу почитать, хотя можно и наоборот :)

Я тоже не отрицаю совместного использования разных источников информации ;).

mseregax100, если вы человек с железной волей, то занимайтесь по книгам. Я так, например, не умею, мне нужно платить свои деньги за курсы, чтобы было жаль их терять впустую.

Ну и, конечно, в 2014 году нет смысла читать книги по 2003 серверу.

DJ Mogarych, А что посоветуете?

учится по всем доступным источникам.
но придётся иногда читать даже для 2000. Некоторые экзаменационные вопросы по 2012 ссылаются на документацию по 2000.

mseregax100, я начинал с курса по основам TCP/IP (AMS-110), и это один из самых полезных курсов, которые я проходил. Был ещё общий курс по безопасности (M2810), тоже очень неплохой. Потом прошёл курсы по 2003 MCSA:Security, потом обновлял MCSA до 2008 и до 2012. Ходил на курс по Exchange troubleshooting, в этом году хотел бы сходить на Hyper-V.