» Полный и тотальный контроль пользователей в локальной сети.

Народ, подскажите: существуют ли программы (клиент-сервер) полного мониторинга и контроля пользователей локальной сети. То есть дана организация с кучей, пациентов с шаловливыми ручками. Начальство поставило задачу обеспечить информационную безопасность на должном уровне, причем желательно чтобы пользователи об этом не знали, а я как сисадмин знал все и обо всех, при этом мог это контролировать. Перечислю минимально-необходимые функции:
- мониторинг действий пользователя через удаленное управление
- логирование абсолютно всех действий пользователя (от нажатий клавиш на клаве и мышки, до номер порта USB, куда вставили флешку) Фиксация времени действий и создание индивидуальных профилей (типа личного дела).
- удаленное управление всеми приложениями на узле (т.е. например мгновенно заблокировать кому-то доступ к той или иной программе и по необходимости полностью перекрыть доступ по нажатию кнопки)
Уверен что такие программы есть, так как я далеко не единственный придурок на всей планете с параноидальным начальством и ушлым сотрудниками. Подскажите решение.

Как пример, lanagent.ru

Diabolik Естественно, такие прграммы есть.Но стоят они нехилых денег,
и требуют наличия подготовленного персонала в области информационной безопасности,
работающего в тесном контакте со службой безопасности фирмы.
Иначе все это детская игра в кошки-мышки.

Diabolik
чено говоря
Цитата:

от нажатий клавиш на клаве и мышки, до номер порта USB, куда вставили флешку

я не представляю если у вас например будет 50 пользователей как вы собираетесь
Цитата:

т.е. например мгновенно заблокировать кому-то доступ к той или иной программе и по необходимости полностью перекрыть доступ по нажатию кнопки

vlary
Названия можно, там разберемся че по чем и как это можно интегрировать.

jey_str
Это не спроста были разные пункты. Первый вариант естественно нужно занести в логи, а второй просто иметь на случай активных действий.

Цитата:

Названия можно, там разберемся че по чем и как это можно интегрировать.

у нас внедряется нечто близкое - SIEM, IBM QRadar. Прикрутить к системе можно многое, но это как уже заметил vlary стоит нехилых денег. Нам обходится в сумму порядка 2 млн российских рублей.

bga83
Насколько близкое к описываемому мной функционалу? 2 млн, ну в общем прилично - озвучу начальству.
Ломаных аналогов естественно нету (для себя бы пригодилось)?

Цитата:

от нажатий клавиш на клаве и мышки, до номер порта USB, куда вставили флешку

Цитата:

естественно нужно занести в логи

это лог длинной в неизвестность
на анализ такого лога нужно кучу времени и это по одному пользователю
для этого вашему отделу аналитиков нужен искусственный интеллект

но по сути зачем так сильно вы что второе nasa создаете??

Добавлено:
я понимаю военная разработка и тому подобное.
но и там такого не делают "ну может не все"
Я встречал подобное там военная разработка
у них нет инета USB, IDE, SATA и тп котрые не используются выпаяны
принтер под камерой наблюдения ЦРУ
да еще все данные хранятся на сервере.
в компе только флешка на 1 гб с виндой
и анализировать ничего не нужно

да еще если военка там люди а вам не будут доверять, и за вами так наблюдать будут

Цитата:

Насколько близкое к описываемому мной функционалу? 2 млн, ну в общем прилично - озвучу начальству.
Ломаных аналогов естественно нету (для себя бы пригодилось)?

я не особо в курсе. Этим у нас служба безопасности занимается. Но суть то все равно ясна - централизованный сбор и анализ различного рода логов.

Еще как вариант пообщаться с интеграторами, описав им свои хотелки. Пусть предложат что-то, посчитают во сколько это обойдется.

и да, в ценнике я немного ошибся - сумма не 2, а около 5 млн рублей. насчет ломаных - тут все довольно просто - подобного рода системы все же покупают, поэтому найти ломаное не реально.

по-моему проще поставить скрытые камеры + собирать логи посредством бэкдуров.

Diabolik
Для столь жесткого контроля нужен принципиально иной подход:
замена всех PC на бездисковые рабочие станции - тонкие кленты, у которых есть только RDP-клиент во flash-памяти. Все ПО и данные только на сервере.
Доступ к серверу (физический) - строго ограниченному кругу лиц.
Тогда значительно проще разграничить доступ и организовать логирование.
Многие действия логировать не потребуется, т.к. их в принципе нельзя будет совершить...

Цитата:

Diabolik
Для столь жесткого контроля нужен принципиально иной подход:
замена всех PC на бездисковые рабочие станции - тонкие кленты, у которых есть только RDP-клиент во flash-памяти. Все ПО и данные только на сервере.
Доступ к серверу (физический) - строго ограниченному кругу лиц.
Тогда значительно проще разграничить доступ и организовать логирование.
Многие действия логировать не потребуется, т.к. их в принципе нельзя будет совершить...

тогда будет не интересно что-то воровать )))

beglec777
Оффтоп, конечно, но все же - в подавляющем большинстве случаев утечек информации технические меры защиты от НСД оказываются бесполезны, т.к. воруют, как раз те, кто должен охранять. Яркий пример - Сноуден.
Параноидальные ограничения - блэк-листы сайтов, запрет флешек, камеры наблюдения на рабочих местах и т.п. порождают раздражение в коллективе и кадровые проблемы.
Для борьбы с утечками гораздо важнее не технические, а административные меры: грамотный подбор и мотивация персонала и адекватное отношение руководства к небольшим человеческим слабостям.

Цитата:

beglec777
Оффтоп, конечно, но все же - в подавляющем большинстве случаев утечек информации технические меры защиты от НСД оказываются бесполезны, т.к. воруют, как раз те, кто должен охранять. Яркий пример - Сноуден.
Параноидальные ограничения - блэк-листы сайтов, запрет флешек, камеры наблюдения на рабочих местах и т.п. порождают раздражение в коллективе и кадровые проблемы.
Для борьбы с утечками гораздо важнее не технические, а административные меры: грамотный подбор и мотивация персонала и адекватное отношение руководства к небольшим человеческим слабостям.

сами утечки, если разговор про что-то действительно важное, это конечно уровень нашей разведки.

jey_str
Просмотр логов зависит от возможности просмотра и анализа программы которая их пишет. Для это не нужен взвод аналитически подкованных мартышек.
Вот например у меня с сервака кто-то из сотрудников (их там в проходной комнате человек 5 сидит) стырил флешку с бекапом базы конторы. Были бы логи, можно было бы вычислить кто это сделал по камерам наблюдения в коридоре, так как вряд ли это было групповое воровство. А так я как бы неловко себя чувствую, хотя перекрыть физический доступ к серваку это головная боль начальства, а мне моя. Хотя где у нас нынче найдешь компетентное начальство. Ну это так, как пример.
Это конечно не "секретка", а малый бизнес, но это Россия и этим все сказано.

bga83
Интересно: откуда такая цена? С потолка взята? И главное насколько она сопоставима с функционалом решения.

SlavaB
Что значит жесткий контроль? Мне не нужно чтобы о мониторинге знали пользователи, это мне нужно знать о них все. Мне не нужно ходить и бить битой по рукам нерадивых пользователей, когда они в рабочее время решат в соц. сетях поморозиться. Мне нужно вовремя добывать информацию, которой можно отвечать на вопросы начальства, как например недавний случай, когда на кто-то из мелких менеджеров с рабочего компа накалякал клевету на группу вышестоящих сотрудников, на BlackJob, а меня спрашивают: какого ... я не в состоянии вычислить ублюдка?

Diabolik

Цитата:

мне нужно знать о них все

- это и есть, в моем понимании, жесткий контроль (в функции системного администратора, кстати, не входящий).
Пока у пользователя есть физический доступ к полноценному локальному компьютеру Вы не сможете НАДЕЖНО обеспечить защиту и контроль.
Ограничения в BIOS можно сбросить, компьютер загрузить с внешнего носителя, вытащить жесткий диск и унести и т.п. Очень много вариантов...

P.S. Если начальство пытается превратить инженера в соглядатая/стукача, добывающего компромат на сотрудников, пора менять работу, ИМХО...

SlavaB
Цитата:

в функции системного администратора, кстати, не входящий

Я как-то даже стесняюсь спрашивать: в чьи полномочия еще может входить контроль компьютеров в сети, кроме сисадмина? Это же обычный малый бизнес. Да не военная секретка гос. уровня, но инфу-то кто-то должен охранять и других должностей просто небывает в таких конторках.
BIOS паролится, порты с носителями досточно логировать каким-нибудь StatWin'ом, прочие акты вандализма легко пресекаются на корню таким же макаром.
Вопрос не в попытке стукачества, а в уровне контроля над ситуацией. В моем случае например, ком. директор мой друг, которого подставили ибо убрать с клевету с BlackJob'а можно либо дать админам на лапу, либо через аккаунт пакостника (второй вариант был бы доступен, если бы полностью контролировал ситуацию).

Цитата:

ком. директор мой друг, которого подставили

Цитата:

а меня спрашивают: какого ... я не в состоянии вычислить ублюдка?

так друзья не говорят,
ну вы поймите что подобной ситуации может и не повторится, ну и наконец сейчас 21 век подобную
Цитата:

накалякал клевету на группу вышестоящих сотрудников

это можно сделать со смартфона в трамвае, и вам начальство скажет (НУЖНО НАЙТИ УПЫРЯ) и что вы зададите вопрос на форуме как взломать сервер
Цитата:

BlackJob'а

чтоб инфу удалить

Цитата:

bga83
Интересно: откуда такая цена? С потолка взята? И главное насколько она сопоставима с функционалом решения.

А ты сам посмотри каких реально денег стоят решения Enterprice-уровня, где зачастую лицензируются и клиенты за весьма нехилый ценник.
Несколько лет назад на прошлой работе внедряли MS lync(Или его предшественника, сейчас уже точно не вспомню) , так там на лицензии на клиентские части софта ушло порядка 1 млн, при том что организация там была раз 5 меньше чем там где я сейчас. Странно почему подобный ценнник на продукты MS воспринимается нормально , а вот на SIEM-систему как взятый с потолка?

Вопросы обеспечения безопасности, если это не маленькая фирмочка человек на 50-100 обходятся не дешево и требуют сложного комплексного подхода.

PS сорри за уход в офтоп

Diabolik, у нас небольшвя производственная фирма - около 50 юзеров, практически всем по работе нужен Инет, Флэшки, Инет-мессенджеры, CD-приводы, IP-телефония, .... Компы у всех полноценные, перевести в терминал реально человек 5-10, не более.
Служба безопасности - это вахтеры на проходной, которые следят, чтобы работяги на работу водку не проносили, и чего с работы вечером не стырили.
После обсуждения ситуации с более чем адекватным (!!!) директором пришли к выводу, что достаточно логгирования действий Юзеров программой StaffCop Standart (или аналогичной) и наличия возможности у директората (не только у меня, сисадмина, а именно у директората) генерировать отчеты по интересующим их юзерам и в случае чего устраивать "разбор полетов".
Опять же - сейчас доступ в Инет идет через прокси-сервер, и логгируется. О чем все предупреждены.
Факт установки StaffCop Standart (или аналога) скрывать тоже не планируется.

И вопрос - почему считается, что запись на BlackJob'е сделана с рабочего компа, а не с планшета или смартфона???

jey_str
Цитата:

так друзья не говорят,
ну вы поймите что подобной ситуации может и не повторится, ну и наконец сейчас 21 век подобную

Ну он не так конечно сказал, это я образно выразился. А если ситуация и повторится, то точно не с рабочего компа и тут я уже ничего не смогу сделать - это раз. И два, враг уже будет идентифицирован.

eap
Насчет StaffCop'а приценюсь, то логирование интернет-трафика мне мало интересно, больше интересуют запущенные проги на машине (надоели дебилойды юзающие торренты на работе) и логи с клавиатуры.

Цитата:

И вопрос - почему считается, что запись на BlackJob'е сделана с рабочего компа, а не с планшета или смартфона???

Потому что больше неоткуда. Представь себе сеть объектов разбросанных по мегаполису, на каждом из которых по одному менеджеровскому компу с инетом для связи. Стал бы ты заморачиваться с мобильным интернетом, если есть бесплатный на работе? К тому же открытых Wi-Fi'ев поблизости всего у пары точек (те вне подозрений). Да и подходящие девайсы у контингента тоже не в ходу.

Diabolik
Инфопериметр Standart RUS
нашел на rutracker.org
в описании (Собирает данные о: почтовой переписке (веб-почта и SMTP), ICQ (ICQ, QIP, Miranda), клавиатурные нажатия, копирование на USB, посещенные веб-сайты, запуск приложений, активность работы в окнах (сколько реально кто с каким приложением работал), скриншоты экрана (супер штука - видео проигрывает рабочего дня. Снимает раз в 10 секунд)
дерзай

Цитата:

надоели дебилойды юзающие торренты на работе

Дебилоиды - это сурово!
На одной из прошлых работ Директор был задвинут на подслушках-подглядках. По его приказу всем менеджерам воткрытую установил RAdmin, всех предупредил: телевизор красный - за вами смотрят. И всё равно один дебилоид спалился - с рабочего компа под наблюдением директора отправлял резюме для перехода на работу к конкурентам.

jey_str
Ok, гляну.

eap
У меня RAdmin и так стоит везде и об этом все знают. Только он для помощи "альтернативно-одаренным", а не для слежки. За всеми не уследишь, это можно только через анализ логов отслеживать, посему и ищу альтернативные методы контроля. А телефонные разговоры предлагалось писать на SpRecord, там "папик" (владелец бизнеса) тоже был параноиком, но это никак не помешало сотрудникам его дважды кинуть. Первый раз свалила группа менеджеров среднего звена прихватив несколько платежеспособных клиентов, а во второй раз директор с замом ушли прихватив почти всю клиентскую базу. Вывод: наличие денег никак не связано с наличием ума.