Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 22.02.2017, 17:53   [включить плавающее окно]   #1
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Какие службы надо прибить в Win 7 для полной нейтрализации любых попыток выйти в сеть

Есть параноидальная задумка для работы - полностью прибить любые попытки выхода в тырнэт для двух групп машин - локальные (убить можно всё) и АСЗИ, которым надо оставить только локалку, но полностью блокировать любую возможность выхода в тырнэт.
Пояснение - блокировать надо вообще всё, т.е. не какой-то вшивый браузер, а абсолютно все возможные варианты (особенно системные).
Чтоб независимо от подключаемого адаптера (блюпуп, модем, мобила, вафля и т.д.) он не мог создать соединения при любых условиях и ни один пакет не смог бы вырваться наружу.

В данный момент средствами "KES 10" на всех машинах настроил сетевой экран, где в правилах сетевой активности софта всё запретил и в пакетных правилах тоже самое + создал правило "запрет любой активности" и поместил первым в приоритетах, сам KES закрыл паролем.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 22.02.2017, 20:00   [включить плавающее окно]   #2
AyratG
Мужской Опытный
 
Регистрация: 02.11.2006
Адрес: E-burg
прибить службу "сервер"
AyratG вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 09:55   [включить плавающее окно]   #3
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
AyratG
И всё? Просто бить все сетевые службы вряд ли правильно - скорее всего что-нить в системе перестанет потом работать и не только сети -)
А для машин в локальных сетях, чтоб оставить только локалку? Там наверное только сетевым экраном закрывать.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 10:55   [включить плавающее окно]   #4
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Полковник Исаев, а вынести эти машины в отдельную сеть без интернета не судьба?
И не надо никакие службы отключать

Добавлено через 40 секунд

Цитата (AyratG) »
прибить службу "сервер"
И???

Хоть бы описание этой службы почитал
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 11:47   [включить плавающее окно]   #5
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
zl0dey4eg
Сети и так без интернета, как и локальные машины. Нужно максимально обезопасить их от сторонних подключений.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 12:19   [включить плавающее окно]   #6
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
zl0dey4eg
Сети и так без интернета, как и локальные машины. Нужно максимально обезопасить их от сторонних подключений.
Ну так, отключите приводы, залейте USB эпоксидкой, дайте пользователям подписать бумажки о соблюдении режима секретности .

Профит!
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 12:51   [включить плавающее окно]   #7
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
zl0dey4eg
Если ты такой умный, то почему строем не ходишь? (с)

Нужно именно такое программное решение - штатные средства 7 и KES10
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 13:03   [включить плавающее окно]   #8
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Нужно именно такое программное решение - штатные средства 7 и KES10
Ну так оно есть!!!
И не понятно, почему Вы его в упор не замечаете?!?!

Брендмауэр Windows
Или сетевой экран в КЕС 10
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.02.2017, 13:46   [включить плавающее окно]   #9
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
zl0dey4eg
Брандмауэр не годится, потому как каждая уважающая себя софтина при установке предлагает себя добавить в его исключения и системные сервисы винды тоже им не блокируются.
Сетевой экран в KES10 настроил, о чём в первом посте писал, но хочу перестраховаться, потому как нет возможности испытать работоспособность сетевого экрана, точнее есть единственная возможность, но в случае неудачи она закончится очень плохо

Особенно хотелось бы в службах отделить работу локалки от тырнэта, если это возможно. На локальных же пофиг, там можно вообще все сетевые сервисы убить, если они не будут мешать работе системы.

PS: А можно не "Выкать"? Мы же не на светском приёме и не ведём официальную межведомственную переписку. Нафиг нужна эта дутая вежливость в обезличенном тырнэте?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 23.02.2017 в 13:50.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 13:16   [включить плавающее окно]   #10
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (zl0dey4eg) »
дайте пользователям подписать бумажки о соблюдении режима секретности
Ты даже не представляешь себе, сколько таких бумажек подписано его пользователями... а всё равно нарушают, с-собаки!
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 13:37   [включить плавающее окно]   #11
VitohA
Мужской Интересующийся
 
Регистрация: 13.09.2016
Адрес: Voronezh
Брандмауэр не годится, потому как каждая уважающая себя софтина при установке предлагает себя добавить в его исключения и системные сервисы винды тоже им не блокируются.
Системные сервисы также блочатся, а программам можно говорить нет. В любом случае, если настроить кастомный блок, то программа пусть хоть n-раз себе всё разрешит, толку не будет. Имхо, хватит заблокировать всё исходящее и входящее с routable ip's и дефолтного маршрутизатора.
VitohA вне форума  
Ответить с цитированием
Непрочитано 24.02.2017, 13:43   [включить плавающее окно]   #12
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Да административные меры никогда не работают. Недавно было ещё несколько случаев нарушений с подключением мобил и последующими увольнениями. Каждый же считает себя самым умным и что "никто не узнает", более того - вместо своих компов подключали к чужим, типа перестраховались но только мобила тоже идентифицируется.
Хочу жопу себе прикрыть и помимо сетевого экрана убить любую возможность подключения.

Добавлено через 1 минуту

VitohA
Нету там маршрутизаторов -)) локальные машины и небольшие сети
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 15:00   [включить плавающее окно]   #13
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
убить любую возможность подключения
Я это понимаю, только нужды у меня такой ни разу не было - вот и не знаю, что бы тебе посоветовать...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 20:11   [включить плавающее окно]   #14
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Жалко, я надеялся на твоё авторитетное мнение
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 20:13   [включить плавающее окно]   #15
weertt
Мужской Умудрённый
 
Аватар для weertt
 
Регистрация: 16.02.2008
Адрес: SPb.
убить
Подключить параллельно usb колокола громкого боя, ну или 220 В, на худой конец.
__________________
Ths.
weertt вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 20:29   [включить плавающее окно]   #16
Lexx77
Мужской Заслуженный
 
Аватар для Lexx77
 
Регистрация: 20.02.2011
Адрес: Ишим, Тюм. обл.
Полковник Исаев
Как то это всё делается. Я работаю на жд. Свой жд интернет, или как его там называют. Выхода из него нет. Заблокировано и CD приводы и USB. Кому надо, подают заявки, им открывают что то. На моей машине открыт USB. У многих закрыто всё. Прав админа ни у кого нет. Если что то случается, подаём заявку, ITшники или удалённо или сами приходят, исправляют. Как я понимаю, блокировка где то в реестре.
__________________
Александр
Lexx77 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.02.2017, 20:58   [включить плавающее окно]   #17
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Lexx77
Да я понимаю, но это всё мимо темы - у нас слишком разная специфика.

Вот у тебя какое наказание юзерам и ИТшникам за несанкционированный выход в тырнэт?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 24.02.2017 в 21:02.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.02.2017, 20:59   [включить плавающее окно]   #18
Lexx77
Мужской Заслуженный
 
Аватар для Lexx77
 
Регистрация: 20.02.2011
Адрес: Ишим, Тюм. обл.
у тебя какое наказание юзерам и ИТшникам за несанкционированный выход в тырнэт?
У нас это не возможно. В понедельник попробую, покажу скрин. Ну и что возможно покажу.
__________________
Александр
Lexx77 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.02.2017, 21:18   [включить плавающее окно]   #19
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Lexx77
Невозможного не бывает в принципе.

Блокировка USB лишь отчасти решает проблему - я их опечатал (принудительно перевёл на болванки) почти на всех машинах за исключением узкого круга лиц, дополнительно отключил те порты, которые позволяет отключить BIOS (без ущерба для периферии). Но всё равно часть портов не отключаемые, да и ничто не мешает выдернуть мышь/клаву, воткнуть туда концентратор и в него ещё чего угодно. (контроль устройств в KES10 тоже настроен, но он срабатывает после того, как устройство прописалось в системе и установило драйвер)
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.02.2017, 21:28   [включить плавающее окно]   #20
Lexx77
Мужской Заслуженный
 
Аватар для Lexx77
 
Регистрация: 20.02.2011
Адрес: Ишим, Тюм. обл.
Полковник Исаев
В понедельник, вторник всё попробую, отпишусь тебе. Что возможно заскриню.
__________________
Александр
Lexx77 вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:24. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey