» Запретить пользователям закрывать radmin, AD

Здравстуйте! Есть контролер домена (Active Directory), есть чудо программа radmin ^) Задача чтобы её ни кто из пользователей не мог закрыть. Тоесть чтобы машина запускалась ей сразу скриптом ставился радмин, применяеться ключик который ставит пароль, и после этого запускаеться служба.
Сколько я уже не бьюсь над этой казалось бы элементарной задачей всё бесталку, люди ламоют пас на локального админа и после этого останавливают службу, и заходят в домен, а служба так и не запускаеться
скрипт простой:
radmin.bat
\\dc\sysvol\radmin\r_server.exe /install
regedit \\dc\sysvol\radmin\regfile.reg 'Там парольчик лежит
\\dc\sysvol\radmin\r_server.exe /silence
Этот скрипт выполняеться при старте машины (чтобы иметь возможность установки), так вот вопщем надо чтоб никто ктоме администратора домена ни как не смог остановить радмин.

Цитата:

Сколько я уже не бьюсь над этой казалось бы элементарной задачей всё бесталку, люди ламоют пас на локального админа и после этого останавливают службу, и заходят в домен, а служба так и не запускаеться

Чтож у локального админа такой пассворд плохой, что его кто ни походя ломает? Ставь более надежный пароль.

ShIvADeSt
Пароль локального админа и ломать-то не надо -- отрывается на раз. Т.е. его сложность тут вообще не при чем.

Nerian
Очень просто все. Как только RAdmin убивается - пишешь на человека кляузу начальству. Его штрафуют. После этого все работает.
А для того чтобы все это под законодательную ьазу подвести - напиши IT Policy Agreement, который все должны подписать.
Запомни - хорошо защищенный сервер - это тот, который стоит выключенным в сейфе.
Думай ширше

Я думаю, что быть может можно убрать его из списка процессов,вот только как это сделать не знаю!

Добавлено
Я думаю, что быть может можно убрать его из списка процессов,вот только как это сделать не знаю!

Цитата:

можно убрать его из списка процессов

- Запустить как сервис.
Точная инструкция.. поищу.
Ага, вот.. Из ФАКа по выни (iXBT)
1)копируешь фпйлы instsrv.exe & srvany.exe в системную папку, напр winnt/system32/ (брать из resourse kit/compmgmt.cab). Есть еще srvinstw.exe - это ГУИ оболочка, позволяющая тоже самое + ставить/сносить удаленно.
2, запускаемся из командной строки insrv MyServise C:/full_path/srtany.exe, где MyServise - придуманное имя сервиса. Если есть пробелы, то имя надо в кавычки.
3, Теперь конфигурим этот сервис: Start->Settings->ControlPanel->Services, находим свой сервис, 2жды щелкаем его. В открывшемся окошечке отмечаем, как он должен будет запускаться - Automacis/Manual/Disabled. Если хотим окно его видеть на экране, отмечаем галкой "Allow Service to interact with desktop"
4. Запускаем regedit32 и создаем key "Parameters", в : HKLM\SYSTEM\CurrentControlSet\Service\Имя_сервиса\
5. СОздаем под созданным ключом "Paarmeters" value "Application" type REG_SZ: и прописываем там полный путь к исполняемому файлу. Напр, Application: REG_SZ: C:\full_path\t-mail.cmd
6. Перегружаемся или стартуем сервис вручную.
////Лучше это делать под акком админа - тогда под всеми юзерами работать будет.

bredonosec

Цитата:

instsrv.exe & srvany.exe

дык radmin самостоятельно сервисом становиться умеет.....
r_server /setup и давишь "установить сервис"......
IrokezV

Цитата:

убрать его из списка процессов

смысл ? у кого есть админские права - тот прибъет службу и не через таск мэнеджер...
против локальных админов, а тем более тех , кто "ломает" пароли на работе, действуют только административные меры (штрафы, взыскания и т.п.)....

Полностью согласен с
Цитата:

G14

К сожалению схожая ситуация. Для того, чтобы не ломали пароли 1. в биосе отключи загрузкус дисковода и сидирома
поставь пароль супервисора на биос. Меняй пароли лок админов раз в 2 недели и все будет путем для особенно умных через ГП дай возможность запускать только 2-3 жизнено важных для работы проограммы.

G14

Цитата:

дык radmin самостоятельно сервисом становиться умеет.....

- Знаю, ответил на вопрос насчет удаления из процессов (а вдруг другую прогу захочет также убрать)

Цитата:

смысл ? у кого есть админские права - тот прибъет службу и не через таск мэнеджер...

Именно.

Вы знаете, мне кажется, вы подходите к вопросу не с той строны. Вместо того, чтобы советовать человеку как запустить RAdmin лучше советовать ему как сделать так, чтобы взлом системы стал более сложным, тогда и эта и многие другие проблемы отпадут сами собой. Это можно сделать например так (для AD):

1) Убедись, что в группе администраторов нет ни одного пользователя.
2) Все системные диски должны быть отформатированы в NTFS с установкой соответствующих прав - всем пользователям - Read Only
2) На локальную учетную запись администратора установи пароль минимум в 16 цифрено-буквенных символов. Этот пароль запиши на бумажку, положи в конверт и запечатай (локальной учетной записью ты будешь пользоваться только в очень крайних случая - например, когда домен недоступен). Такой большой пароль затруднит его подбор и взлом
3) Создай учетную запись в домене и добавь ее в группу администраторы на каждом локальном компьютере (под этой учетной записью ты и будешь выполнять системные обязанности).
4) Если позволяют возможности попробуй ПО для полной шифровки загрузочного раздела. Это сделает невозможным загрузку с флопиков
5) Про установку всех апдейтов я просто молчу и так все ясно

Ну это, типа, начальные шаги к круговой обороне.

Als

Цитата:

2) Все системные диски должны быть отформатированы в NTFS с установкой соответствующих прав - всем пользователям - Read Only

а где пользователь будет хранить свои данные? документы и т.п.
Сори за оффтопик.

Als

Цитата:

На локальную учетную запись администратора установи пароль минимум в 16 цифрено-буквенных символов. Этот пароль запиши на бумажку, положи в конверт и запечатай

да хоть съешь его или на поле чудес закопай, снести пасс локального админа несложно

Цитата:

Если позволяют возможности попробуй ПО для полной шифровки загрузочного раздела

ну да, только ты представляешь себе процесс на домене хотя б машин в 100 ?
админ просто жить на работе будет

имхо, игра с юзерами в партизанскую войну ни к чему кроме окончательного обнагления юзеров не приведет. со временем админ все свое рабочее время будет проводить за этой борьбой с ветряными мельницами вопрос: ради чего это ? имо, рабочая IT структура не место для игр в "хацкерскую зарницу", там работать надо а не доказывать кто круче....а горе-хацкеров бить через начальство.

Цитата:

да хоть съешь его или на поле чудес закопай, снести пасс локального админа несложно

тогда зачем вообще вести разговор об ограничении прав юзеров, предотвращении каких-то их действий? тогда вообще может ставить на все компы 98, раз пароль админа (16 цифробукв) сносят?

G14

Цитата:

ну да, только ты представляешь себе процесс на домене хотя б машин в 100

Хорошо представляю, у меня порядка 40 машин. Никто ничего не взламывает, не играет, в интернет ходят организованно. Основная масса - студенты. Не ломают и не играют не потому, что глупые - наоборот, все программисты, просто знают, что 100% найдем и накажем, а это страшнее. И никто на работе не ночует. Вообщем, если все сделано как надо - особых проблем не будет. Да и обнагления пользователей я что-то не заметил. Ну, это я так на всякий случай.

Als

Цитата:

Никто ничего не взламывает, не играет, в интернет ходят организованно.

Цитата:

просто знают, что 100% найдем и накажем, а это страшнее

ну так а я о чем говорю ?
leputain

Цитата:

тогда зачем вообще вести разговор об ограничении прав юзеров, предотвращении каких-то их действий

потому что юзеры бывают разными. Ограничения тем, кто может по незнанию или глупости натворить делов, которые придется разгребать админу, или посмотреть в рабочее время то , что ему не нужно и тп, то есть с обычными юзерами, можно бороться ограничениями. С теми же , кто
Nerian

Цитата:

ламоют пас на локального админа и после этого останавливают службу,

бороться IT методами нецелесообразно. гораздо эффективнее делать это административно.

В прошлом посте забыл сказать, что административно мы еще никого не наказывали . Кстати, и наших нарушителей я тоже лично не видел, но думаю им от этого лучше не стало. Мне кажется боротся IT методами тоже эффективно.

В конце концов чтобы не заморачиваться с установкой RAdmin'а можно поставить Client for Remote Administrator™ v 2.1, а из него имея права администратора домена, можно каждый раз при необходимости устанавливать и стартовать сервис Radmin.

Можно пойти другим путем ...
не дать юзеру знать что у него запушен сервис радмина
Как сделать ?
Єлементарно меняешь имя сервиса (а также описание)
к примеру r_server на svchost

В добавок конечно поменять порт со стандартного 4899 на другой
Теперь юзеру просечь, что у него запушен радмин будет несколько проблематично

Можно покопать здесь:
http://www.protect-me.com/ru/
Тут есть средства, позволяющие частично (или полностью) решить означенную проблему.

Цитата:

а где пользователь будет хранить свои данные? документы и т.п.
Сори за оффтопик.

Для документов делается редирект на сетевую шару. А программы должны быть уже установлены, те которыми пользоватся разрешено.

я вижу самое простое решение.
оставить как есть. в первый раз установить r_server /install /silence
потом ставим локальному админу офигенный пароль.
и через политики домена запрещаем локальному админу вход на комп, только доменному.
и всё.

меня до сих пор смешит то, что народ сносит пароль локального админа. это никак не должно быть возможно. и ловушку на логон локального админа. и при срабатывании оной бежим чистить морду кулхацкеру.

leputain
почти идеальное решение.
у меня так стоит уже год и все ок. не кто не чего не отключает.
только клиент нужен другой: radminclient

PS
ждем 3-ю версию Radmin'a

всех с Наступившим!
я вообще, как это не глупо, не вижу никакого смысла в Radmine. заинтересовало меня другое

Цитата:

и ловушку на логон локального админа

посоветуйте хоть одну.

Цитата:

и ловушку на логон локального админа
посоветуйте хоть одну.

- Чисто теоретически... Например, в автозагрузку профиля (или как там.. персональные настройки?) забить шедулер, или просто батник, который бы отправлял админу мыло или мессагу (текст любой, важен сам факт отправки - т.е. факт захода под этим профилем)
//хотя для последующего показа начальству можно дать текст вроде
"имя_компа взломав пароль, зашел под локальным админом ** числа ** мес. в **:** местного времени"

Цитата:

только клиент нужен другой: radminclient

PS
ждем 3-ю версию Radmin'a

это подразумевается негласно и по поводу клиента и по-поводу нового сервера

ловушка...
если комплексно, то без анализатора логов (event log) не обойтись..
или syslogd по win..
сейчас перечислю названия:
eventreader (не тот, который помогает поянть, что значит тот или иной эвент, а другая прога с таким же названием)
GFI SELM
TNT ELM
сислогд:
kiwi syslogd (сервер)
snare agent (клиент)

там можно всяких ловушек повесить

ну или MOM...

bredonosecспасибо. можно красиво реализовать, судя по всему.
leputain что есть МОМ? поясни чайнику

Microsoft Operations Manager - microsoft.com/mom
довольно громоздкая штука, по хорошему вообще разносится на два сервера - на одном sql, на втором сама. для огромных сетей самое то.
или если есть sql в маленькой, то можно к нему присобачиться.

Добавлено
мне ближе всего вариант с GFI SELM или TNT ELM...

leputain
а подробнйе про МОМ можно?
я делаю лавушки с помощью скрипта который стоитв автозагрузкой данного профиля.
который пишет на сервак, а там при появлениии нового лога, он переноситься в другое место (чтоб не уничтожили или переписали)
решение примитивное но всеже

п логи самрой винды локальный админ может уничтожить.

и вообще: административные меры.

и еще одно из решенирй: запретить вход локального админа политиками (локальными/глобальными) если нужна учетка с правами локального админа, то просто на конкретном рабочем месте прописываеш доменного юзера и даеш ему права локального админа. (для NT платформы). пусть ломают локального админа

Цитата:

а подробнйе про МОМ можно?

Цитата:

microsoft.com/mom

поищи в В помощь системному администратору по mom, и в других разделах...

Timon_Crazy
насчет ловушек ...
Есть целый класс прог данного назначения honeypots --- для хостов
и honeynets --- для сетей. Так что изобретать велосипед думаю не стоит.


Цитата:

а подробнйе про МОМ можно

Этого монстра оправдано использовать в очень крупных сетях IMHO