[wertyg]

1 - а запускай ПО от имени ограниченной учётной записи. у пущай себе попробуют проадминить.) только этой ограниченной записи дай полный доступ на каталог ПО и в реестре ключики к ним тоже доступ можешь дать. из этого следует что админить из инета можно только это ПО. больше нечего - к остальным ресурсам доступа нет.)
1а- незабывай про резервное копирование.) на тот случай если всёже наадминят.)
2 - настрой фаервол. но для этого нужно знать точно по каким портам работает это самое ПО. в фаерволе указать что доступ к ним можно получить только с указанных адресов. и забей туда надёжные адреса. я так полагаю что это служба поддержки\обновления. если конечно ты им доверяешь. иначе этот способ неподойдёт.(
2а- узнать какие порты использует ПО можно так netstat -abn эта каманда покажит тебе все открытые порты и процессы их открывшие. выбери свой.

з.ы. что за ПО такое? может мне когда-нить пригодиться.)

[Pili]

Цитата king83:

Может как-то настроить файрвол? Какой посоветуете? »

Если бесплатный - wipfw, добавить правила, разрешающее доступ к портам по которым идет обмен данными с конкретных ip адресов, например

Цитата:

add allow tcp from me 80,443 to any add allow tcp from any to me 80,443

Вместо me можно ставить адрес сервера, вместо any внешние ip адреса. Подробнее можно почитать тут и тут
Как уже выше сказали, про порты netstat или ещё есть tcpview от sysinternals

[king83]

wertyg спасибо большое все подробно описал!
Насчет первого способа - немножко не то что нужно, мне как раз-то именно к этому ПО нужно дать частичный доступ... что за ПО, никакого секрета нет. Есть платежный терминал (точка по приему платежей) работает под Win2000, в нем непосредственно ПО платежной системы, как раз которое и используется при приеме платежей. В инете - по жпрс.
Так вот, ПО проводит платежи (отправляет данные о платежах на биллинг платежной системы) и принимает (успешно или не успешно проведен платеж и т.д.) - вот эти операции надо разрешить.
Но так же админы платежной системы иногда обнавляют ПО (добавляют операторов и прочее... ) т.е. качается обновление и обновляется на системе непосредственно... вот эту возможность надо запретить.
Исходников ПО не имею. В ПО обновление никак не отключить.
Обмен пакетами с платежами и обновление всегда идет через разные ip адреса, диапозон достаточно широк... у них видимо несколько серверов и программа может связываться с любым.

Вот думаю с настройкой файрвола все должно помочь...

netstat -abn - эта команда показывает только те порты которые используются в данный момент как я понял. А если я не смогу уловить тот момент когда ПО обновляется и соответственно не увижу по какому порту произошло обновление...
Или нужно уловить по какому порту идут данные по платежам, и открытым держать только его?

Спасибо за ответ!

Pili ок, спасибо большое за конкретный совет! обязательно изучу этот файрвол! Вот кажется те строчки которые ты указал и есть прямое решение моей проблемы! :-)
Насчет портов, если я не смогу уловить тот момент когда произошло обновление и соответственно не увижу по какому порту оно было, есть ли какие-то лог-файлы где я могу это посмотреть,т.е. я увижу что обновление было, и потом где-то посмотреть какой порт использовался для передачи файлов мне на систему?

СПасибо!

[Pili]

Цитата king83:

есть ли какие-то лог-файлы где я могу это посмотреть,т. »

Да, wipfw ведет логи, для этого в правиле достаточно указать
если все логировать:

Цитата:

add count log ip from any to any add deny all from any to any

а так будут вестись логи только заблокированных пакетов:

Цитата:

add deny log all from any to any

Или, если вести лог только определенных правил

Цитата:

add allow log tcp from me 80,443 to any add allow log tcp from any to me 80,443

Рекомендую для начала оставить 1-ый вариант и/или совмещать правила ведения логов

[wertyg]

Цитата king83:

netstat -abn - эта команда показывает только те порты которые используются в данный момент как я понял »

эта команда показывает все открытые(прослушиваемые) порты. порт для администрирования(оно проводиться через инет, тогда протокол должен быть TCP) должен быть всегда открыт. иначе на него нельзя будет заципиться и админить. так что ты его должен полюбому увидеть.

Цитата king83:

Или нужно уловить по какому порту идут данные по платежам, и открытым держать только его? »

а вот это правильная мысль. если ты будешь держать открытими только нужные порты, остальные закроешь, то повысишь безопасность своей системе, что есть хорошо.)