Млин, а ведь домашний комп таких юзверей -- рассадник самой актуальной вирусни, как у портовой шлюхи. Пару доков в общий чат и можно смело начинать выгребать дерьмо с серваков.
С домашних компов мне кажется юзеров в сеть корпоративную пускают только очень смелые (или очень нищие) компании.
ооо, какая святая наивность... тут 6 министерств из дома работают, в том числе экономики
При удалённом рабочем столе не важно, что на самом компе - вирусы или порно. Он же не связан с устройством на котором его запустили.
вот это заявление.
А разве не так? По факту удаленный рабочий стол транслирует только команды от периферийных устройств и обратно возвращает картинку.
так, но документ то туда скопировать никто не мешает
Окей, пару сценариев:
- подключение по VPN в корпоративную сеть, где есть шара с правом на запись. Домашний троян с радостью ломится туда позаменять собой пару-тройку docx\xlsx.
- Шары нет, но интернет тугой. Юзер вытягивает рабочий документ себе на домашний ПК, в нем радостно селится вирусняк, файл отгружается на рабочий ПК.
- RDP и его заменяющих нет, а просто открыли доступ по VPN к общим сайтам\файлам, а работники доставили необходимый софт на домашний ПК.
- ну или банально могут умыкнуть пароли доступа.
В целом, RDP дает возможность подключать сетевой диск, имеется общий буфер и как бы у тебя целое окно управления стороним компом. Конкретно в этом направлении не копал (игрался только с WS-Management), но что-то мне подсказывает что при желании можно организовать и атаку с использованием поднятой сессии RDP (ну или умыкнуть её).
- подключение по VPN в корпоративную сеть, где есть шара с правом на запись. Домашний троян с радостью ломится туда позаменять собой пару-тройку docx\xlsx.
- Шары нет, но интернет тугой. Юзер вытягивает рабочий документ себе на домашний ПК, в нем радостно селится вирусняк, файл отгружается на рабочий ПК.
- RDP и его заменяющих нет, а просто открыли доступ по VPN к общим сайтам\файлам, а работники доставили необходимый софт на домашний ПК.
- ну или банально могут умыкнуть пароли доступа.
В целом, RDP дает возможность подключать сетевой диск, имеется общий буфер и как бы у тебя целое окно управления стороним компом. Конкретно в этом направлении не копал (игрался только с WS-Management), но что-то мне подсказывает что при желании можно организовать и атаку с использованием поднятой сессии RDP (ну или умыкнуть её).
Нехуй общий чат с доступом из локала настраивать.
Да не. У нас на фирме выдают фирменный лептоп и два монитора впридачу.
У нас тоже выдавали, но когда уже полофиса решили утащить технику домой, таки тормознули этот праздник.
Не. Техника осталась в офисе. Они огранизовали экстра мониторы и экстра лептопы. Все компы на месте и там висит знак "Не отключать! Работа по удалёнке"
У нас даже в офисе терминальный доступ. Все работают на виртуалках. Поэтому ничто не мешает их отдать домой кроме страха за сохранность техники.
Их воспитывать надо. Я вот своих воспитал, теперь только по серьезным вопросам ко мне обращаются.
А можно тебе работников как к кинологу отдать на 2 недельки, что бы вернулись уже воспитанными?
а что изменилось-то? настроил удаленку к рабочему компу и всё
Это в IT-компаниях каждый сотрудник сам в состоянии организовать доступ к рабочему месту по удаленке. Если же админить условную бугалтерию, то уже КАЖДОМУ придется объяснить что такое RDP\VPN и с чем его едят.
Причём даже с пошаговой инструкцией со скриншотами (реально на каждый клик, без моментов "здесь каждому дураку понятно"). Всё равно "не работает".
Можно написать охуительно подробную инструкцию с картинками, и они все равно ничего не поймут.
поймут. потому что надо уметь писать такие инструкции
Напомнило....
https://bash.im/quote/341458
Steve: Папа по телефону диктует сослуживице, которой за пятьдесят, как ей впервые открыть позарез нужный документ на домашнем компьютере сына. Предку явно не покайфу это все.
Steve: Ало!!!!
Вставила диск? Найди в "моем компьютере" диск 3,5 А !!
Что нет? 3,5 А нет? Моего компьютера на экране нет?
Есть? щелкни!! Что значит........чем щелкнуть?
Зубами, бл** щелкни!!!!
https://bash.im/quote/341458
Steve: Папа по телефону диктует сослуживице, которой за пятьдесят, как ей впервые открыть позарез нужный документ на домашнем компьютере сына. Предку явно не покайфу это все.
Steve: Ало!!!!
Вставила диск? Найди в "моем компьютере" диск 3,5 А !!
Что нет? 3,5 А нет? Моего компьютера на экране нет?
Есть? щелкни!! Что значит........чем щелкнуть?
Зубами, бл** щелкни!!!!
Вообще немного из практики. В бытность XP в универе столкнулся с тем, что ПК не хочет создавать VPN, т.к. на установленой версии какого-то фига по умолчанию была отключена нужная служба (привет всем зверьэдишенам). На старой работе отца у сотрудника не устанавливалась ни одна программа т.к. была отключена служба установки. Плюс в сети гуляет 100500 гайдов по "оптимижации шиндовс" где такие рекомендации, что волосы дыбом стают (особенно любят вырубать UAC). Блин, да в ИТ-компании, где вроде все умные люди, порой недостучатся из одного компа к другому по какой-то идиотской причине, которую упустили. Работая в том же Ciklum, столкнулся с тем что нужно звонить провайдеру и просить открыть порт для VPN (хотя вроде это и в инструкциях было, не помню уже).
И это все опуская IQ пользователя в плане взаимодействия с ПК. В общем на все случаи жизни инструкцию не напишешь.
И это все опуская IQ пользователя в плане взаимодействия с ПК. В общем на все случаи жизни инструкцию не напишешь.
Ага, ну прям ликбез будешь проводить каждому, рассказывать про туннели, про порты проброшенные и прочее, заодно расскажешь что надо домен дописывать и еще расскажешь что такое домен. Мне интересно, на сколько человек тебя хватит.
В действительности происходит так: Вот значок на него тыкаешь, потом пишешь свой пароль, потом тыкаешь сюда и снова пишешь пароль, потом работаешь, потом тыкаешь на крестик и на вот эту кнопку. Ах да и не вздумай удалять AA и тимвьювер, звонить сюда. Следующий.
В действительности происходит так: Вот значок на него тыкаешь, потом пишешь свой пароль, потом тыкаешь сюда и снова пишешь пароль, потом работаешь, потом тыкаешь на крестик и на вот эту кнопку. Ах да и не вздумай удалять AA и тимвьювер, звонить сюда. Следующий.
Нужно исходить из факта грамотности подопечных. Где-то прокатит показать всем один раз по скайпу. Где-то будут звонить на телефон "Как выйти из полноэкраного режима?" Ну или банально вырубят удаленый комп.
Если взять самую простую сеть на пару юзеров и одного админа в офисе без доменов, тунелей, фаерволов и прочего то сам процесс доступа с дома на рабочий ПК выглядит как минимам:
- включить RDP на рабочем ПК, добавить порт RDP в исключение брандмауэра Windows, добавить учетку юзера в группу "Пользователи удаленного рабочего стола"
- пробросить порт на маршрутизаторе
- заходить с домашнего ПК на рабочий ПК по нестандартному порту.
Я понимаю на маршрутизаторе правила добавляет исключительно Адмнин, но если юзер имеет доступ к админ аккаунту винды, права на изменения правил брандмауэра, групповых политик и прочего... КАК ЧАСТО У ВАС АДМИНЫ СУИЦИДЯТСЯ?
Это мы упустили то, что в 99% должно быть, а именно отдельный фаервол, работа ПК в домене, исключение на подключение извне и прочее...
- включить RDP на рабочем ПК, добавить порт RDP в исключение брандмауэра Windows, добавить учетку юзера в группу "Пользователи удаленного рабочего стола"
- пробросить порт на маршрутизаторе
- заходить с домашнего ПК на рабочий ПК по нестандартному порту.
Я понимаю на маршрутизаторе правила добавляет исключительно Адмнин, но если юзер имеет доступ к админ аккаунту винды, права на изменения правил брандмауэра, групповых политик и прочего... КАК ЧАСТО У ВАС АДМИНЫ СУИЦИДЯТСЯ?
Это мы упустили то, что в 99% должно быть, а именно отдельный фаервол, работа ПК в домене, исключение на подключение извне и прочее...
>>Если взять самую простую сеть на пару юзеров и одного админа в офисе
Не будет админа. Скорее тело выполняющее его обязоности, либо мальчик по вызову. В зависимости от бюджета организации, компетенции руководства и срочности задачи, принятые решения могут быть не в пользу секьюрити. Из позитивного: как правило такое до первого инцидента, и дальше таки принимаются меры усиления безопасности.
Не будет админа. Скорее тело выполняющее его обязоности, либо мальчик по вызову. В зависимости от бюджета организации, компетенции руководства и срочности задачи, принятые решения могут быть не в пользу секьюрити. Из позитивного: как правило такое до первого инцидента, и дальше таки принимаются меры усиления безопасности.
Окей, не админ, а эникей по вопросам включить монитор, заменить картридж, настроить принтер, посмотреть почему порнобаннер занимает 99% рабочего стола... как правило студент за шаурму на неполный рабочий день.
Если нет IT отдела или компания никак не связана с интернетом (сайт визитка, нет сервера, нет онлайн конференций, почта на гмыле, принтера заправляет секретарша по дороге домой завозя на фирму которая этим занимается) то хуй, что примут, в одном ООО делал мини сайт с их продукцией, точнее сказали переделать то, что у них было но оказалось проще с 0, так один с их доменом оказался как пол года у левых людей ибо его не продлевали, а буквально через пол года после этого звонил уже третий по счету админ который спрашивал "а есть ли мои наработки у меня" ибо хостинг благополучно продлить они тоже забыли и все файлы наебнулись.
ООО, по договору домены, почта, ИНТЕРНЕТ в городе в одной компании брали... они не в состояние почту мониторить, для продления услуг, о какой безопасности речь?
ООО, по договору домены, почта, ИНТЕРНЕТ в городе в одной компании брали... они не в состояние почту мониторить, для продления услуг, о какой безопасности речь?
А можно накупить лицензий и пользоваться виртуалками с веб-доступом.
В ит компаниях и рдп не обязательно, всё-таки, через ремоут работать не сильно комфортно. Но, всё-таки, у девеллперов компьтерная гигиена получше, чем у обычных пользователей.
Чтобы написать коммент, необходимо залогиниться