Какие службы надо прибить в Win 7 для полной нейтрализации любых попыток выйти в сеть

[Полковник Исаев]

Есть параноидальная задумка для работы - полностью прибить любые попытки выхода в тырнэт для двух групп машин - локальные (убить можно всё) и АСЗИ, которым надо оставить только локалку, но полностью блокировать любую возможность выхода в тырнэт.
Пояснение - блокировать надо вообще всё, т.е. не какой-то вшивый браузер, а абсолютно все возможные варианты (особенно системные).
Чтоб независимо от подключаемого адаптера (блюпуп, модем, мобила, вафля и т.д.) он не мог создать соединения при любых условиях и ни один пакет не смог бы вырваться наружу.

В данный момент средствами "KES 10" на всех машинах настроил сетевой экран, где в правилах сетевой активности софта всё запретил и в пакетных правилах тоже самое + создал правило "запрет любой активности" и поместил первым в приоритетах, сам KES закрыл паролем.

[AyratG]

прибить службу "сервер"

[Полковник Исаев]

AyratG
И всё? Просто бить все сетевые службы вряд ли правильно - скорее всего что-нить в системе перестанет потом работать и не только сети -)
А для машин в локальных сетях, чтоб оставить только локалку? Там наверное только сетевым экраном закрывать.

[zl0dey4eg]

Полковник Исаев, а вынести эти машины в отдельную сеть без интернета не судьба?
И не надо никакие службы отключать

Добавлено через 40 секунд

Цитата (AyratG) »

прибить службу "сервер"

И???

Хоть бы описание этой службы почитал

[Полковник Исаев]

zl0dey4eg
Сети и так без интернета, как и локальные машины. Нужно максимально обезопасить их от сторонних подключений.

[zl0dey4eg]

Цитата (Полковник Исаев) »

zl0dey4eg
Сети и так без интернета, как и локальные машины. Нужно максимально обезопасить их от сторонних подключений.

Ну так, отключите приводы, залейте USB эпоксидкой, дайте пользователям подписать бумажки о соблюдении режима секретности .

Профит!

[Полковник Исаев]

zl0dey4eg
Если ты такой умный, то почему строем не ходишь? (с)

Нужно именно такое программное решение - штатные средства 7 и KES10

[zl0dey4eg]

Цитата (Полковник Исаев) »

Нужно именно такое программное решение - штатные средства 7 и KES10

Ну так оно есть!!!
И не понятно, почему Вы его в упор не замечаете?!?!

Брендмауэр Windows
Или сетевой экран в КЕС 10

[Полковник Исаев]

zl0dey4eg
Брандмауэр не годится, потому как каждая уважающая себя софтина при установке предлагает себя добавить в его исключения и системные сервисы винды тоже им не блокируются.
Сетевой экран в KES10 настроил, о чём в первом посте писал, но хочу перестраховаться, потому как нет возможности испытать работоспособность сетевого экрана, точнее есть единственная возможность, но в случае неудачи она закончится очень плохо

Особенно хотелось бы в службах отделить работу локалки от тырнэта, если это возможно. На локальных же пофиг, там можно вообще все сетевые сервисы убить, если они не будут мешать работе системы.

PS: А можно не "Выкать"? Мы же не на светском приёме и не ведём официальную межведомственную переписку. Нафиг нужна эта дутая вежливость в обезличенном тырнэте?

[Smirnoff]

Цитата (zl0dey4eg) »

дайте пользователям подписать бумажки о соблюдении режима секретности

Ты даже не представляешь себе, сколько таких бумажек подписано его пользователями... а всё равно нарушают, с-собаки!

[VitohA]

Цитата (Полковник Исаев) »

Брандмауэр не годится, потому как каждая уважающая себя софтина при установке предлагает себя добавить в его исключения и системные сервисы винды тоже им не блокируются.

Системные сервисы также блочатся, а программам можно говорить нет. В любом случае, если настроить кастомный блок, то программа пусть хоть n-раз себе всё разрешит, толку не будет. Имхо, хватит заблокировать всё исходящее и входящее с routable ip's и дефолтного маршрутизатора.

[Полковник Исаев]

Smirnoff
Да административные меры никогда не работают. Недавно было ещё несколько случаев нарушений с подключением мобил и последующими увольнениями. Каждый же считает себя самым умным и что "никто не узнает", более того - вместо своих компов подключали к чужим, типа перестраховались но только мобила тоже идентифицируется.
Хочу жопу себе прикрыть и помимо сетевого экрана убить любую возможность подключения.

Добавлено через 1 минуту

VitohA
Нету там маршрутизаторов -)) локальные машины и небольшие сети

[Smirnoff]

Цитата (Полковник Исаев) »

убить любую возможность подключения

Я это понимаю, только нужды у меня такой ни разу не было - вот и не знаю, что бы тебе посоветовать...

[Полковник Исаев]

Smirnoff
Жалко, я надеялся на твоё авторитетное мнение

[weertt]

Цитата (Полковник Исаев) »

убить

Подключить параллельно usb колокола громкого боя, ну или 220 В, на худой конец.

[Lexx77]

Полковник Исаев
Как то это всё делается. Я работаю на жд. Свой жд интернет, или как его там называют. Выхода из него нет. Заблокировано и CD приводы и USB. Кому надо, подают заявки, им открывают что то. На моей машине открыт USB. У многих закрыто всё. Прав админа ни у кого нет. Если что то случается, подаём заявку, ITшники или удалённо или сами приходят, исправляют. Как я понимаю, блокировка где то в реестре.

[Полковник Исаев]

Lexx77
Да я понимаю, но это всё мимо темы - у нас слишком разная специфика.

Вот у тебя какое наказание юзерам и ИТшникам за несанкционированный выход в тырнэт?

[Lexx77]

Цитата (Полковник Исаев) »

у тебя какое наказание юзерам и ИТшникам за несанкционированный выход в тырнэт?

У нас это не возможно. В понедельник попробую, покажу скрин. Ну и что возможно покажу.

[Полковник Исаев]

Lexx77
Невозможного не бывает в принципе.

Блокировка USB лишь отчасти решает проблему - я их опечатал (принудительно перевёл на болванки) почти на всех машинах за исключением узкого круга лиц, дополнительно отключил те порты, которые позволяет отключить BIOS (без ущерба для периферии). Но всё равно часть портов не отключаемые, да и ничто не мешает выдернуть мышь/клаву, воткнуть туда концентратор и в него ещё чего угодно. (контроль устройств в KES10 тоже настроен, но он срабатывает после того, как устройство прописалось в системе и установило драйвер)

[Lexx77]

Полковник Исаев
В понедельник, вторник всё попробую, отпишусь тебе. Что возможно заскриню.