» Запретить пользователям закрывать radmin, AD

Jovanotti
honeypot - это совсем другое, это целый хост.

а тут нужен просто монитор логов виндовских.

Timon_Crazy
тебе будет проще с syslogd-аналогами реализовать, мне кажется.

SELM и MOM - это действительно крууууупные монстры.

Тимон, читай:
***** http://forum.ru-board.com/topic.cgi?forum=35&topic=20959#1
*** http://forum.ru-board.com/topic.cgi?forum=35&topic=15763#1
**** http://forum.ru-board.com/topic.cgi?forum=35&topic=8775#1
**** http://forum.ru-board.com/topic.cgi?forum=35&topic=21731#1
***** http://forum.ru-board.com/topic.cgi?forum=8&topic=3749&start=0
**** http://forum.ru-board.com/topic.cgi?forum=35&topic=6070&start=60#lt
***** http://forum.ru-board.com/topic.cgi?forum=35&topic=19472#1
чем больше звездочек, тем МНЕ интереснее

Добавлено
делать что-то, так делать по уму, а не скриптом в автозагрузке..

если использовать скрипт в автозагрузке, то не увидишь, когда начнут перебирать пароли.

ведь пароль можно перебирать и на шару (административную, например), а там если успешно подобрал, просто получаешь доступ к шаре и никакого логона с запуском скриптов в автозагрузке не происходит.

а то, извините, фигово получается, дать сломать, но когда сломают и начнут пользоваться получить оповещение. может проще снова-таки, не дать сломать?

и вот тут сегодня добавил, бесплатное решение, но не real-time отслеживает, а как сам настроишь в task scheduler'е: http://forum.ru-board.com/topic.cgi?forum=8&topic=3749&start=20#4

leputain
IS Decisions EvenTrigger Pro 2.10 - Monitor Event Logs and Trigger Action.

Цитата:

for Windows 2000 and XP - is a real time event logs monitoring tool with filter-based notification functions. Thanks to its advanced event filter, EvenTrigger alerts and/or starts processes before potential problems occur!
Its easy-to-use MMC snap-in will allow administrators to anticipate and prevent faults by actively monitoring their networks availability, but also to strengthen their network security. Running as a Windows 2000/XP service, EvenTrigger is able to generate pop-ups or e-mails, and even to start processes, scripts or events insertion in a OLEDB database, once pre-defined criteria are met. Setting up filter is made easy with the help of filter templates.
Features: - MMC snap-in support. - Users filter support. - Able to send pop-ups or e-mails via an SMTP server. - Inserts events in a OLEDB database. - Filter events on source categories. - Filter on event's dynamic parameters. - Starts a process (VBS, JS, EXE, CMD...) or plays an alarm (WAV, MID, MP3). - Built-in filter templates. - Three predefined reports: Files Access, Logon/Logoff, Printing Report.

Думаю должно подойти ?? На взоре сегодня выложили

>Єлементарно меняешь имя сервиса (а также описание)
> к примеру r_server на svchost

Если не секрет, как это сделать?

YurikGL
переименовываешь r_server.exe в svchрусская_Оst, и запускаешь с теми же параметрами..

leputain
Угадал !!
НО этого мало, надо кой какие еще манипуляции поделать
К примеру измение ИМЕНИ сервиса
смена иконки радмина на стандартную в экзешнике
Могу позже выложить готовый к употреблению набор файлов

[b]Jovanotti[/b]

и за чем такие сложности то?
все проще деалется на много

иконку - можноне выводить, есть настройки радмина.
имя сервиса - ну окромя админа не ктоне вырубить его и прочее и прочее..

а о чем я и толкую? защитить аккаунт админа - это первосстепенная задача. и тогда пусть видят, что их мониторят радмином, меньше будут суетиться. если не получается от юзеров защитить админа, то нафига их дальше администрировать?!
я опять повторяю то, что говорил выше? ну так значит ещё не все поняли

Добавлено:
скачал я кстати этот EventTrigger, софтина классная, только она мониторит все эвенты с момента её запуска, а не считывает/очищает.. + если её через асталависту лечить или ключиком, что в комплекте, то report'ы отказываются работать, говорят лицензия не та. но это я не лечилку обсуждаю, я просто хочу сказать, что это не функциональная в данном контексте софтина

Timon_Crazy

Цитата:

и за чем такие сложности то?

Люблю я все усложнять, понимаешь работа такая
А если серьёзно ...
Вообще то задача несколько иная стояла ...
чтобы НИКТО даже и НЕ ДОГАДАЛСЯ насчет радмина
Ну примерно как один из принципов security
Лучшая атака (защита) --- НЕ ЗАМЕЧЕННАЯ АТАКА (защита)

Цитата:

иконку - можноне выводить, есть настройки радмина.

Речь идет не о иконке в трее ...
А иконке на самом экзешнике. Зачем ?
Очень просто --- юзер просматривает папку где лежит экзешник
и видит файл svchost.exe c иконкой Радмина. ВСЕ !
Факт наличия на машине радмина. Компрометация со всеми вытекающими .....


Цитата:

имя сервиса - ну окромя админа не ктоне вырубить его и прочее и прочее..

Ошибаешься ....
напрямую вырубить неможет, а вот Power user (просто юзером не пробовал )
запросто создает новый "hardware profile" и уже в нем указывает --
НЕ ЗАПУСКАТЬ СЕРВИС РАДМИНА

Установка сервисов Radmin'a на всех рабочий станциях imho сомнительное решение.
В идеале - использование утилиты ra_tool.exe, которая позволяет инсталлировать сервис на клиент удаленно и удаляет/останавливает его при отключении.

Xon
Подробнее можно ?
Что за ra_tool.exe. От Famatech ?

Цитата:

которая позволяет инсталлировать сервис на клиент удаленно и удаляет/останавливает его при отключении.

Это все элементарно делается скриптом

Абсолютно случайно заметил, что за мной остался неотвеченный вопрос
Отвечаю...

Jovanotti
ra_tool.exe это утилита, написанная энтузиастами (я так понимаю админами) для удаленного инсталлирования сервиса Radmin на конкретную рабочую станцию. (почти твой скрипт только в 100 раз удобнее)
Зачем мне всем ставить Radmin скриптои если мне необходимо подсоединяться к пользователю только раз в год например. Лишний сервис? Нет уж...
Да и других нюансов полно. Не буду описывать.

Удаленно поставил-решил проблему-удалил. Всё делается двумя нажатиями мышки.
У меня техподдержка им пользуется уже 4 года.

народ как убрать радмин 3.0 из трея и запретить закрытие его юзерам!!!
Помогите плз!!

Да, действительно, кто подскажет, как убрать из трея радмин то???
Юзерам то я доступ зрезал, чтоб не могли его закрыть. Но хъотелось чтоб они его визуально даже в трее не видели???
Мож кто подскажет...

Вас тока тонкие клиенты спасут. И радмин не нужен штатными средствами мона подключаться к чужому терминальному сеансу.

Всем смотреть DameWare NT Utilities http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=7102&start=800#lt и не париться

syema

Цитата:

как убрать из трея радмин то???

можно этим - RAdmin Client (RClient) от VolmSoft

Ставить раздел C: ридонли весьма и весьма гемор.
Очень много програм начнут глючить.
Опять же, даже без взлома пароля, я гружусь с флешки и ставлю в безопасности NTFS группе all все права и много чего могу, но не слишком.
Взлом(сброс) админского пароля - это пользовательский беспредел. У нас за такое, выговор с занесением + депримерирование на 1 раз, 2 раз уволнение на 1-2-3.
Это жеское нарушение IT безопасности и если бы я бы был руководителем и узнал про такое, то админу сделал как минимум внушение и без проблемы подписал документ по IT безопасноти и при устройстве на работу все бы его подписали как миленькие. Ведь что делает пользователь, он на рабочем месте РАБОЧуЮ машину ломает, то есть занимается вредительством, возможно тырением Секретной информации, нанесением мат ущерба фирме как минимум тратя рабочее время админа. Какого дерьма и вирусни он понаставит ХЗ. Кто еще пострадает, сколько машин, в какую копейку это выльется ХЗ*2.
И если у вас не фирма с беспощадной текучкой, где на попытки дисцилины работники фыркнув пишут увольнительную, то за такой наглый беспредел гнобить и гнобить. Фактически тебя втаптывают в грязь как должностное лицо, в метафоре ты подошел к пользователю и сказал не ломай компьютер, а он тебя на ...3 буквы плюнул в рожу и нагло ломает. А ты утерся и думаешь как бы ему рот заклеить и пальцы только к нужным клавишам привязать.

Резюме: Хочешь работь тратя время ни начто, с головной болью и чтобы относились как тряпке бестолково бегающей по офису борись толко IT методами и тебя еще сильне будут ненавидеть и думать что ты гад из вредности это все делаешь.
Хочешь быть админом и заниматься РАБОТОЙ за которую получаешь зарплату и думать и совершенствоваться по спецальности, а не о войне с пользователем, начинай осваивать администативные приемы. Ибо хороший админ это Администартор и в смысле орагизации и систематизаци работы пользователей.

Я вот тут подумал, и сразу в голову пришло следующее: написать батник

:start
start /wait \\dc\sysvol\radmin\r_server.exe /silence
goto start

и запускать его при запуске машины вместо r_server.

Суть файла проста. Запускается r_server и далее батник ждет, пока r_server не выгрузится из памяти. Может юзер не догадается, для чего запущена cmd.exe