» Запись терминальных сессий на Windows 2000/2003 server?

Надо вести запись действий админов, в терминалках, есть соответсвующие ПО?
Подскажите заодно каким ПО лучше лучше писать с рабочих станций?
Планируеться сервер, на котором будут храняться все видео записи работы за компьютером.

sysm2007
Задача не понятна в принципе. Че записывать, каких админов?

Что-то на подобии
WinCAM 2000 - делает запись всего происходящего на экране вашего компьютера в видео файл.

Только надо писать видеозапись, происходящего в терминальных сессиях.

Сумневаюсь что такое есть.

sysm2007
можно поинтересоваться, зачем?

АДМИНА записать нельзя.
я когда логинюсь на сервер сразу проверяю список процессов (это по религиозным соображениям)
все ненужное или непонятное сразу исслезуется и гасится.
потом гасится личность, от имени которой это появилось

sysm2007
Супер интересная задачка!!! Главное непонятно, зачем именно видеозапись причем вести которую необходимо постоянно!
Да и видимо расчитано это на каких-то странных админов, т.к. нормальный админ сразу просечет такую фишку, после чего его лояльность к работодателю сильно пошатнется.

Для контроля работы администраторов.

sysm2007
Поржал!!!
Цитата:

Для контроля работы администраторов.

Это то же самое что контролировать погоду - есть прогноз, а уверенности нет...

tuskan
Админа записать можно, НО только если он сам этого захочет.
Мне, к примеру, не составит труда записать свои действия хоть в день моего отсутствия на работе, при том что это будет усиленная работа по настройке того же терминала

sysm2007
А как ты собираешся установить такую прграмму на сервер терминалов? Или ты сам админ? Тогда нах следить, или это новый способ отката своих действий?

Добавлено:
А если серьёзно, то надо понять, зачем это делать?
Если есть подозрения что админ не выполняет своей работы. Пережде всего поговорите с ним - откроете много для себя. Если переговоры закончатся провалом - увольняйте, да и весь разговор, т.к. нормального админа нельзя котнролировать.

Ruza

Цитата:

А как ты собираешся установить такую прграмму на сервер терминалов? Или ты сам админ? Тогда нах следить, или это новый способ отката своих действий?

Я тоже сначала думал что это новое слово в системе версионности :-D
Но потом ввиду того, что автор темнит, перестал ему задавать даже наводящие вопросы...
Ибо идея непонятная в принципе, а т.к. автор темы не договаривает, задача неразрешимая.
Странно то что вопрос идет о том что бы контроллировать Администраторов (их очень много? тогда кто он сам?). Вообщем видимо у людей как всегда изначально система развивалась не правильно, а теперь вот вопрос как же победить проблему.
Это то же самое что на одной сотке в огороде засадить на 10 ярусах редиски и спрашивать, а как сделать что бы солнце попадало на 9 нижних рядов? (Вместо покупки еще 9 соток)

Это для службы информационной безопасности, для контроля. Если запись с консоли можно сделать специализированным ПО, то терминальные сессии записать не так то просто, возможно даже это не разрешимая задача и проще запретить терминалки и разрешить админить только через удаленное администрирование...

Цитата:

Это для службы информационной безопасности, для контроля.

Ахренеть!!!! А что админ не входит в
Цитата:

службы информационной безопасности

???

Ruza
Вообще как правило админ не должен входить в службу безопасности Это отдельное подразделение
Но идея писать что делает админ, дебильная все таки... Сомневаюсь что кто-то будет смотреть записанное :-D

Да дело не в том другое это подразделение или нет.
Если не верят админу, то просто увольняют. А если начнут писать его действия можно нарватся на БОЛЬШОЕ противодействие ведущее к непредсказуемым последствиям, и заметьте вообще без каких лиюо доказательств т.к. умный админ просто модифицирует логи от имени local service.

sysm2007

Цитата:

и разрешить админить только через удаленное администрирование...

А что терминал уже не входит в раздел удалённого администрирования?

Nimnul
Я за свою жизнь админскую насмотрелся много безопасников - нормальные просто с админами договариваются (иногда админы получали доплату за поддержку информационной безопасности). А ненормальные типа бывших работникв ППС или ГАИ приходя на работу начинают считать себя пупом земли и лезут в такие сферы где НИХ## не понимают. Вот отсюда и происходят идеи по записи работы админов.

Был случай из практики: как то просили поставить прослушку на офисную миниАТС (технически решение до смешного простое), но потом заметил открывая шкаф с АТС, что прослушка висит и на моём номере (он у меня прямой т.к. модем висит). И представь набравшись наглости этот безопасник заявляет мне что не слышит моих разговоров, а сам тупо не понимает что DSL блокирует это дело....

Сам как-то давно сталкивался с такой проблемой, но в windows решения не нашел (в Linux видел неплохие решения).
Навскидку варианты:

1) при логине обычного админа ч/з терминал посылать оповещение на АИБ (адм.инф.безопасности) - а тот уже через shadow смотрит что делает админ.

2) разрешить доступ админа только через 1 терминал, а за спиной поставить wb-камеру

3) Настроить аудит, причем чистку журнала должен делать только АИБ.

Но все это туфта. Я присоединюсь к остальным авторам: дешевле поддерживать здоровый климат в коллективе, нежели тратиться на слежку за админом, заранее подозревая его во всех грехах. И тщательно нанимать работников и обеспечивать им достойную зарплату - чтобы те чувствовали свою отвественность и не возникало соблазна что-нибудь скоммуниздить. В конце концов, пункт о возмещении убытков от злонамеренных действий можно заложить в контракте о приеме на работу.

Kokoc

Цитата:

2) разрешить доступ админа только через 1 терминал, а за спиной поставить wb-камеру

Улыбнуло!

Цитата:

3) Настроить аудит, причем чистку журнала должен делать только АИБ.

Бред!
Кто будет настраивать аудит?
АИБ забыл почисть журнал и получаем подвисший сервер?

Большинство как маленькие дети.. не веришь админу - уволняй! Что это?! А если админ не один а 10 и за всеми не уследишь! А злой умысел может появиться в любую минуту, админа можно спокойно завербовать. Контроль администраторов в крупных конторах должен быть обязательно, хочет он или нет. Иначе можем получить слив информации конкурентам в крупных размерах. Умному админу просто не дадут прав local service, админ будет иметь право создавать пользователей и удалять, другой будет оператором архива, третий будет почтовым админом и т.д. А все критические действа должны происходить только при участвии Администратора ИБ! АИБ - будет всем права выдавать.

Kokoc

Цитата:

В конце концов, пункт о возмещении убытков от злонамеренных действий можно заложить в контракте о приеме на работу.

Злонамеренность доказать будет невозможно, запросто уйдет по линии некомпетентности.

sysm2007
Слежка за квалифицированными ИТ-специалистами - штука бессмысленная априори, ибо существует ряд неустранимых рисков на каждом этапе, независимо от вашего желания и компетентности.

Судя по заявленным требованиям, помочь может только какое-то промышленное, аппаратное решение (в стальном ящике с надежным замком ). Нечто вроде KVM-over-IP с возможностью записи и передачи такого трафика на центральный сервер, но я не встречал на рынке подобных устройств. Или, что уже реальнее, KVM с MultiView, писать это все через отдельную сессию на какой-то выделенной машине, админов пускать только на консоль... Но это будет довольно дорогим и неудобным извращением, учитывая максимальное количество одновременных сессий на сервер и на устройство.

sysm2007
А в голову не приходило записывать все действия финансового директора, генерального? А вдруг они тоже сольют информацию конкурентам?
Чтобы избежать злонамеренных действий принимайте превентивные меры:
-разделение прав и привелегий администраторов;
-четкое разделение обязанностей и соответственно прав доступа, что позволяет всегда однозначно определить виновного;

The Bug

Цитата:

Чтобы избежать злонамеренных действий принимайте превентивные меры:
-разделение прав и привелегий администраторов;
-четкое разделение обязанностей и соответственно прав доступа, что позволяет всегда однозначно определить виновного;

В таком случае существенно снижается эффективность работы администраторов (не будет перехвата задач для оперативного их решения) и разрастается штат. Но это не так важно. Положим поймают Васю, как руководство докажет, что информация была слита неким мифическим "конкурентам"? Конкуренты пойдут в суд и будут свидетельствовать против этого товарища?... Уволнение в таком случае уже не будет иметь значения для специалиста, закапывание в лесу - для компании.

Цитата:

Иначе можем получить слив информации конкурентам в крупных размерах.

А мля финансисты, бухгалтера, топ-менеджеры???? Или это только админы почемуто всегда договариваются с конкурентами?

Цитата:

админу просто не дадут прав local service

Ты пошутил?

Цитата:

А все критические действа должны происходить только при участвии Администратора ИБ! АИБ - будет всем права выдавать.

А кто будет сторожить сторожей?

в тему топика - "DemoForge Recorder" создает обучающие ролики на основе терминальной сессии. НО это клиент терминала, а не серверная часть. Для контроля админа не подходит.


Цитата:

админу просто не дадут прав local service...
А все критические действа должны происходить только при участвии Администратора ИБ! АИБ - будет всем права выдавать.
- А кто будет сторожить сторожей?

Представить такую схему можно: разделенные администраторы и совместное выполнение критических задач с АИБ (а зачастую 2-3админа+АИБ). АИБ-ам же доступ только на чтение. Куча пользователей/паролей/конвертов с паролями/журналов...

А вот работать в ней... с учетом необходимости замен, отпусков, больничных... аварийных ситуаций... вообщем тоже возможно. Но штат должен быть весьма большой.

Может помочь отлаженная схема работы, с электронным защищенным документообортом, назначением задач и заявок + регистраторы, не мешающие работе. И если такое реально сможете сделать хорошо - я восхищусь.


Цитата:

Слежка за квалифицированными ИТ-специалистами - штука бессмысленная априори, ибо существует ряд неустранимых рисков на каждом этапе, независимо от вашего желания и компетентности.

Хм... что априори - спорно. Например максимальный вариант - выполнение всех работ совместно с АИБ-ом + разделение полномочий риски очень сильно сократит (правда за счет эффективности), и даже "квалифицированныму ИТ-специалисту" обойти регламент(=защиту) будет весьма не просто, а обходя получить высокие шансы засветиться в безопаности.
Правда придется "научить" админов спокойно посылать пользователей "нет прав" - "не мое дело". А куча ответственных по частям любой сложный вопрос смогут застопорить намертво если у каждого по отдельности всё хорошо, а в целом система не работает.

Моя оценка: "безопасное" выполнение работ сокращает производительность в 3-4 раза, потому и редко встречается. (ИМХО, но обдуманное)

WSQ

Цитата:

Например максимальный вариант - выполнение всех работ совместно с АИБ-ом + разделение полномочий риски очень сильно сократит (правда за счет эффективности), и даже "квалифицированныму ИТ-специалисту" обойти регламент(=защиту) будет весьма не просто, а обходя получить высокие шансы засветиться в безопаности.

Это философствования на граничные темы. В случае работы совместно с АИБом увеличивается риск сговора. Соответственно, надо менять этих АИБов чуть ли не каждую неделю. Плюс менять самих адмов. А в результате любую информацию продать может банальный офис-менеджер, ибо имеет к ней полный и непосредственный доступ...
Бессмысленно это все.


Цитата:

Моя оценка: "безопасное" выполнение работ сокращает производительность в 3-4 раза, потому и редко встречается. (ИМХО, но обдуманное)

Плюс неоправданное увеличение расходов на персонал.

Позвольте вклиниться в тему.

У каждого системного администратора есть или, во всяком случае, должен быть, свой внутренний кодекс отношения к той СИСТЕМЕ конфигурацией которой он управляет. В противном случае у него со временем не будет шансов попасть на высокооплачиваемую (высокооплачиваемую=ответсвенную, в широком смысле ответственнсти) работу. Более того, возможно, прийдется сменить, как минимум, направление трудовой деятельности и заниматься исключительно железками (как то: смена мышей, монтаж локалок...) или, как максимум, вообще уйти из сферы IT. Хотя бы потому, что даже при зарплате в 500$ требуется ДОВЕРИЕ руководства. А с течением времени мало кого, мне думается, будет эта зарплата удовлетворять.
С другой стороны - отношение к людям, с которыми работаешь. Хотя, надо признать, это из немного другой темы, тоже связанной с безопасностью...
Как показывает практика - для утекания информации, представляющей интерес для третьих лиц, необходимо сотрудничество двух внутренних по отношению к компании сторон. Того кто пользуется информацией, и того, кто помогает пользоваться. Спасет только тотальный МОНИТОРИНГ + разделение доступа к СИСТЕМЕ по ВРЕМЕНИ + ИЗОЛЯЦИЯ сторон друг от друга("никто не знает чем занимается сосед"). По сему - структура безопасности обсуждаемая здесь несостоятельна.
Следить за сторожем = бесконечная итерация наворотов требующая средств и квалифицированного персонала для обслуживания. Недостатка два: 1) в любом случае будет последнее звено, 2) повышение сложности применяемых наворотов увеличивает вероятность отказа как сос тороны техн.средств так и со стороны человеческого фактора.

Все высказанное здесь сугубо ИМХО.

Добавлено:
маленькое дополнение

Видео запись - не поможет в случае чего. ибо есть в природе такая фигня как скрипты. файлики с ничего не значащим названием и возможность при исполении не отображать картинку на экране.... был у того скрипта злой умысел али нет - про то науке неизвестно. наука, так сказать, пока не в курсе

Добавлено:
ашшо одно добавление:

сотрудничество могет быть как сознательным, так и не осознанным. далее многоточие ......

coolbambr
К этому еще можно добавить, что существует отзвон предыдущему работодателю может положить конец успешной карьере Айти специалиста

Nimnul
Извините, это вы к чему?

К разбору темы: есть ли смысл записывать действия сисадминов и путей слива. А так же о роли службы информационной безопасности

Попробуйте обратиться в разведку, там помогут построить систему, при которой все будут следить друг за другом (все-таки они в этом деле больше понимают).
А чтобы голову тут не забивать ни себе, ни нам настройте нормально АУДИТ.

Мне кажется, что началось брожение из крайности в крайность.
АИБ должен быть. Причем часть операций должна выполняться исключительно совместно с ним. Для этого, как правило разделяется на 2 части пароль необходимый для получения соответсвующих прав.
Кроме того, в соответсвии с оценкой рисков, должен быть сформирован перечень ресурсов со степенью их конфиденциальности. Соответственно должна быть продумана грамотная политика предоставления прав доступа и аудита.
Если уж совсем никак. То есть софтины типа stuffcop'a, которые позволяют получать лог действий пользователя и скриншоты.
А запись видео- это бред. Даже потому, что на его просмотр и оценку потребуется СТОЛЬКО времени!!!

sysm2007

Цитата:

Извините, это вы к чему?

Это комментарий к данному сообщению.