Как да се защитя от други админ-и?
Имам РС (ХР сп2 про) което е част от домейн.
Аз имам админ акаунт, но има още 4-5 админ акаунта. Плюс това подозирам че и други знаят паролата на моя акаунт, но не искам да я сменям, нито да трия другите админ-и.
Искам да предотвратя абсолютно всякакво бърникане в компютъра отвън - никой да не може да гледа какво има или да променя каквото и да било, дори да не вижда дали съм в мрежата (да не отговаря на пинг и подобни). Дори да знае моите юзърнейм и парола.
Как да стане?
Мога да утрепя всякакви сървиси и програми, но не знам какво точно.
Примерно ще спра Net Logon, Secondary Logon, Remote registry, Remote desktop, Telnet, Terminal services, но какво още?
Разбира се, РС-то трябва да работи след всичко това.
Не искам да инсталирам доп. софтуер(напр. файъруол), трябва да стане с наличните ресурси.
Някаква идея?
10х
Re: Как да се защитя от други админ-и?
Не си казал каква е мрежата,но се предполага,че е Microsoft базирана. При нея идеологията е такава, че домейн админа има пълен достъп до всичко, само не може да ти види паролата с нормални средства - може да я ресетне, да те забрани и прочее.... Дори и да нямаш шернат ресурс, има default шернати всички у-ва плюс системната директори на твоя комп. Ако сисадмина е "фелен", не можеш много да се скриеш... :)
Не си казал твоя акаунт с какви права е в домейна и съответно на локалната машина. В домейна вероятно си user. Aкo имаш локални администраторски права, можеш да направиш някои неща, които поне малко да попречат и да затруднят "бъркане" през локалната мржата (нямам претенции за изчерпателност)
- Изключи File and print sharing
- В Local security pоlicy задай на Access this computer from network - разкарай всички акаунти
- Разкарай от локалната администраторска група всички домей акаунти начело с домейн админа,остави само твоя домейнския Това работи перфектно, особено ако домейнската политика не е изпипана в детайли, при логване в домейна тя овъррайтва локалната политика, но ако не са го указали изрично, домей админа остава извън локалната админ група :-)
Гореизложеното е изпробвано на практика и работи. Успех!
Re: Как да се защитя от други админ-и?
Ако машината е присъединена към windows domain, нямаш големи шансове, освен ако администратора не е некадърник, мързеливец или и двете заедно.
Ако машината не е присъединена към windows domain, е достатъчно да включиш вградения в windows firewall (иначе администратора на домейна най-вероятно ще е забранил), за да спреш достъпа по мрежата. Ако искаш да спреш локалния достъп, може да направиш disable на нежаланите акаунти или да ги преместиш в група с намалени права. Така, мисля, че условието, което поставяш, е изпълнено - не триеш, а сменяш свойства. Също може да опишеш в локална политика кой има право да се логва локално, кой отдалечено и кой и двете. ;-)
//Извън темата
ДОБАВЕНО: boishin ме изпревари с няколко секунди, а като гледам написаното се припокрива. Значи не лъжем! :-memnon
Re: Как да се защитя от други админ-и?
Цитат:
Първоначално публикувано от peter_nn
Аз имам админ акаунт, но има още 4-5 админ акаунта. Плюс това подозирам че и други знаят паролата на моя акаунт, но не искам да я сменям, нито да трия другите админ-и...
Ako имаш други админи на Domain Server, нямаш начин защото всеки админ има права да променя всичко, друг е въпроса че не може да ти сменят паролата, както и ти на тях - защото капана щрака тогава ...
Ако имаш локални админи въпорса е друг, можеш да ги ограничиш на ниво домейн и да ги оставиш да вършеят локално ...
Re: Как да се защитя от други админ-и?
:offtopic:
Цитат:
Първоначално публикувано от Zaphod B
- сетни си първо някоя 16 символна(буквеноцифрена комбинация) парола .. :yikes
Няма голямо значение за темата, но за паролата май смисъл имат първите 14 символа?!?
Re: Как да се защитя от други админ-и?
Ако машината е присъединена към Windows Domain и имаш права да се логваш към машината само с потребител от домейна нямаш никакъв шанс да скриеш каквото и да било. През Domain Group Policies администратора на домейна може да зареди в домейн контролера такива настройки, че всички локални настройки на Windows да се зареждат от предварително създадения от него профил, че дори и да стартира приложения(!). При мен дори и screen saver-a и wallpaper-а на клиентите се зареждат чрез настройките на Active Directory. Друг вариант е да имаш локален потребител, който не е в домейна, но и това няма да ти помогне особено.
