leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я вижу самое простое решение. оставить как есть. в первый раз установить r_server /install /silence потом ставим локальному админу офигенный пароль. и через политики домена запрещаем локальному админу вход на комп, только доменному. и всё.   меня до сих пор смешит то, что народ сносит пароль локального админа. это никак не должно быть возможно. и ловушку на логон локального админа. и при срабатывании оной бежим чистить морду кулхацкеру. Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:32 24-12-2004

Timon_Crazy Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору leputain почти идеальное решение. у меня так стоит уже год и все ок. не кто не чего не отключает. только клиент нужен другой: radminclient   PS ждем 3-ю версию Radmin'a ---------- • Сходка РУ-Борда в Новосибирске Мой дневник - Сщастливый безумец Всего записей: 353 | Зарегистр. 16-08-2003 | Отправлено: 13:26 02-01-2005

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: и ловушку на логон локального админа   посоветуйте хоть одну. - Чисто теоретически... Например, в автозагрузку профиля (или как там.. персональные настройки?) забить шедулер, или просто батник, который бы отправлял админу мыло или мессагу (текст любой, важен сам факт отправки - т.е. факт захода под этим профилем)   //хотя для последующего показа начальству можно дать текст вроде   "имя_компа взломав пароль, зашел под локальным админом ** числа ** мес. в **:** местного времени" Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 05:11 03-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: только клиент нужен другой: radminclient     PS   ждем 3-ю версию Radmin'a это подразумевается негласно и по поводу клиента и по-поводу нового сервера   ловушка... если комплексно, то без анализатора логов (event log) не обойтись.. или syslogd по win.. сейчас перечислю названия: eventreader (не тот, который помогает поянть, что значит тот или иной эвент, а другая прога с таким же названием) GFI SELM TNT ELM сислогд: kiwi syslogd (сервер) snare agent (клиент)   там можно всяких ловушек повесить   ну или MOM... Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:59 03-01-2005

Zeleznick Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosecспасибо. можно красиво реализовать, судя по всему. leputain что есть МОМ? поясни чайнику Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 11:39 04-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Microsoft Operations Manager - microsoft.com/mom довольно громоздкая штука, по хорошему вообще разносится на два сервера - на одном sql, на втором сама. для огромных сетей самое то. или если есть sql в маленькой, то можно к нему присобачиться.   Добавлено мне ближе всего вариант с GFI SELM или TNT ELM... Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 12:28 04-01-2005

Timon_Crazy Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору leputain а подробнйе про МОМ можно? я делаю лавушки с помощью скрипта  который стоитв автозагрузкой данного  профиля. который пишет на сервак, а там при появлениии нового лога, он переноситься в другое место (чтоб не уничтожили или переписали) решение примитивное но всеже   п логи самрой винды локальный админ может уничтожить.   и вообще: административные меры.   и еще одно из решенирй:  запретить вход локального админа политиками (локальными/глобальными) если нужна учетка с правами локального админа, то просто на конкретном рабочем месте прописываеш доменного юзера и даеш ему права локального админа. (для NT платформы). пусть ломают локального админа ---------- • Сходка РУ-Борда в Новосибирске Мой дневник - Сщастливый безумец Всего записей: 353 | Зарегистр. 16-08-2003 | Отправлено: 19:01 04-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а подробнйе про МОМ можно? Цитата: microsoft.com/mom   поищи в В помощь системному администратору по mom, и в других разделах... Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 13:56 05-01-2005

Jovanotti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Timon_Crazy насчет ловушек ... Есть целый класс прог данного назначения  honeypots  --- для хостов и honeynets  ---  для сетей. Так что  изобретать велосипед думаю не стоит.   Цитата: а подробнйе про МОМ можно Этого монстра  оправдано использовать в очень крупных сетях IMHO Всего записей: 720 | Зарегистр. 22-12-2002 | Отправлено: 14:07 05-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Jovanotti honeypot - это совсем другое, это целый хост.   а тут нужен просто монитор логов виндовских.   Timon_Crazy тебе будет проще с syslogd-аналогами реализовать, мне кажется.   SELM и MOM - это действительно крууууупные монстры.   Тимон, читай: ***** http://forum.ru-board.com/topic.cgi?forum=35&topic=20959#1 *** http://forum.ru-board.com/topic.cgi?forum=35&topic=15763#1 **** http://forum.ru-board.com/topic.cgi?forum=35&topic=8775#1 **** http://forum.ru-board.com/topic.cgi?forum=35&topic=21731#1 ***** http://forum.ru-board.com/topic.cgi?forum=8&topic=3749&start=0 **** http://forum.ru-board.com/topic.cgi?forum=35&topic=6070&start=60#lt ***** http://forum.ru-board.com/topic.cgi?forum=35&topic=19472#1 чем больше звездочек, тем МНЕ интереснее   Добавлено делать что-то, так делать по уму, а не скриптом в автозагрузке..   если использовать скрипт в автозагрузке, то не увидишь, когда начнут перебирать пароли.   ведь пароль можно перебирать и на шару (административную, например), а там если успешно подобрал, просто получаешь доступ к шаре и никакого логона с запуском скриптов в автозагрузке не происходит.   а то, извините, фигово получается, дать сломать, но когда сломают и начнут пользоваться получить оповещение. может проще снова-таки, не дать сломать? Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 07:18 06-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору и вот тут сегодня добавил, бесплатное решение, но не real-time отслеживает, а как сам настроишь в task scheduler'е: http://forum.ru-board.com/topic.cgi?forum=8&topic=3749&start=20#4 Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 08:24 07-01-2005

Jovanotti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору leputain IS Decisions EvenTrigger Pro 2.10 - Monitor Event Logs and Trigger Action. Цитата: for Windows 2000 and XP - is a real time event logs monitoring tool with filter-based notification functions. Thanks to its advanced event filter, EvenTrigger alerts and/or starts processes before potential problems occur! Its easy-to-use MMC snap-in will allow administrators to anticipate and prevent faults by actively monitoring their networks availability, but also to strengthen their network security. Running as a Windows 2000/XP service, EvenTrigger is able to generate pop-ups or e-mails, and even to start processes, scripts or events insertion in a OLEDB database, once pre-defined criteria are met. Setting up filter is made easy with the help of filter templates. Features: - MMC snap-in support. - Users filter support. - Able to send pop-ups or e-mails via an SMTP server. - Inserts events in a OLEDB database. - Filter events on source categories. - Filter on event's dynamic parameters. - Starts a process (VBS, JS, EXE, CMD...) or plays an alarm (WAV, MID, MP3). - Built-in filter templates. - Three predefined reports: Files Access, Logon/Logoff, Printing Report.       Думаю   должно подойти     ?? На взоре сегодня выложили   Всего записей: 720 | Зарегистр. 22-12-2002 | Отправлено: 11:03 10-01-2005

YurikGL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору >Єлементарно меняешь имя сервиса (а также описание)   >  к примеру r_server на  svchost     Если не секрет, как это сделать? Всего записей: 308 | Зарегистр. 02-09-2004 | Отправлено: 14:00 12-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YurikGL переименовываешь r_server.exe в svchрусская_Оst, и запускаешь с теми же параметрами.. Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:44 12-01-2005

Jovanotti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору leputain Угадал  !!     НО этого мало, надо кой какие еще манипуляции поделать   К примеру   измение ИМЕНИ сервиса   смена иконки радмина на стандартную в экзешнике   Могу позже выложить готовый к употреблению набор файлов Всего записей: 720 | Зарегистр. 22-12-2002 | Отправлено: 18:23 12-01-2005

Timon_Crazy Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору [b]Jovanotti[/b] и за чем такие сложности то? все проще деалется на много иконку - можноне выводить, есть настройки радмина. имя сервиса - ну окромя админа не ктоне вырубить его и прочее и прочее.. ---------- • Сходка РУ-Борда в Новосибирске Мой дневник - Сщастливый безумец Всего записей: 353 | Зарегистр. 16-08-2003 | Отправлено: 15:38 14-01-2005

leputain Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а о чем я и толкую? защитить аккаунт админа - это первосстепенная задача. и тогда пусть видят, что их мониторят радмином, меньше будут суетиться. если не получается от юзеров защитить админа, то нафига их дальше администрировать?! я опять повторяю то, что говорил выше? ну так значит ещё не все поняли   Добавлено: скачал я кстати этот EventTrigger, софтина классная, только она мониторит все эвенты с момента её запуска, а не считывает/очищает.. + если её через асталависту лечить или ключиком, что в комплекте, то report'ы отказываются работать, говорят лицензия не та. но это я не лечилку обсуждаю, я просто хочу сказать, что это не функциональная в данном контексте софтина Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 18:01 14-01-2005

Jovanotti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Timon_Crazy Цитата: и за чем такие сложности то? Люблю я все усложнять, понимаешь работа такая А если серьёзно ...     Вообще то задача несколько иная стояла ...    чтобы  НИКТО   даже и НЕ ДОГАДАЛСЯ насчет радмина   Ну примерно как  один  из принципов security   Лучшая атака (защита)   ---   НЕ ЗАМЕЧЕННАЯ АТАКА  (защита) Цитата: иконку - можноне выводить, есть настройки радмина.    Речь идет не о иконке в трее    ...      А иконке на самом экзешнике.  Зачем ?    Очень просто ---  юзер просматривает папку где лежит экзешник     и видит  файл svchost.exe  c иконкой Радмина. ВСЕ !      Факт наличия на машине радмина. Компрометация  со всеми вытекающими  .....   Цитата: имя сервиса - ну окромя админа не ктоне вырубить его и прочее и прочее.. Ошибаешься ....   напрямую вырубить неможет, а вот Power user  (просто юзером не пробовал ) запросто создает новый "hardware profile"  и уже в нем указывает -- НЕ ЗАПУСКАТЬ СЕРВИС РАДМИНА   Всего записей: 720 | Зарегистр. 22-12-2002 | Отправлено: 18:10 14-01-2005

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Установка сервисов Radmin'a на всех рабочий станциях imho сомнительное решение. В идеале - использование утилиты ra_tool.exe, которая позволяет инсталлировать сервис на клиент удаленно и удаляет/останавливает его при отключении. Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 12:27 15-03-2005

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Запретить пользователям закрывать radmin, AD

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование