Секретность от NW: SecureWave Sanctuary & Sentinel 5

[Андрей Тр. aka RH]

Права то даются вендовому пользователю а он не сменяется.

А не очень понятно:
- если в NW не входить, а загрузиться как локальный Админ на ПК, то будут применены права по умолчанию.

- если потом, из автонома, войти в NW, то оно поймет пользователя из Дерева и даст ему его права.

- но если потом новым NW-пользователем войти в NW-сеть, то она его понимает, но прав не переназначает.

А надо делать так, чтобы было нельзя пользоваться компом, не зайдя в NW, и чтобы по результатам логина в NW вендовый пользователь автоматически генерился. Короче, DLU в Zene. Тогда в Венде пользователь будет соответствовать нетваревскому. Ну и, конечно, хорошо бы при этом не делать их "локальными админами" ..

[Музалёв Николай]

и чтобы по результатам логина в NW вендовый пользователь автоматически генерился. Короче, DLU в Zene.

Андрей, а вот от сюда - чуть подробнее , уж не сочтите за труд коротенький ликБез, а то это для меня почти незнакомо.

(В даннгом контексте ЗЕН - это управление десктопом ? или что еще? А то там теперь много всяких ЗЕНов, целый раздел...)

Спасибо.

[Андрей Тр. aka RH]

DLU - Dynamic Local User - политика Зена ( по-моему, этот механизм есть во всех его версиях, по крайней мере во всех более-менее последних - типа Zenworks for Desktops 7 и ZCM10 .. хотя 7-ка щас, по-моему, называется Zenworks Desktop Management = ZDM7 ). Смысл в том, что по новелловскому логину в локальной Венде создается ( автоматически ) вендозный пользователь с таким же именем, как новельный. И при его отлогинивании этот пользователь удаляется ( или не удаляется - зависит от настроек политики ).

Таким образом наше прямоходящее при пользовании компутером видит исключительно окно логина новельного клиента, и никаких тебе окон вендозного логина. Кроме того, этого "временного" локального пользователя можно сделать членом каких-то локальных же вендозных групп ( напр., Users ). Соответственно, и привилегии ( локальные ) у него будут соответствовать членству в них ..

.. правда, это всё справедливо для таких Венд, как ХР, НТ4, Виста .. про 98 я ничего сказать не могу.

[Музалёв Николай]

А что происходит, если сеть по форс-мажору временно недоступна?

[Иван Иванов]

А что происходит, если сеть по форс-мажору временно недоступна?

В зависимости от настроек. Если локальный вход разрешен то птичку в клингте и уперед а если нет то все курят бамбук.

[Андрей Тр. aka RH]

А что происходит, если сеть по форс-мажору временно недоступна?

Смотря насколько она ( сеть ) для вас критична. У нас если нет сети, то большинство компов ( за исключением ноутов ) довольно бесполезны. Все файлы, большинство приложений и пр. - в сети.

В принципе, еще можно залогиниться локально в Safe Mode по F8. Если, конечно, знать имя / пароль локального юзера ( типа администратора ). Если есть птичка логиниться локально, то .. она будет всегда - есть сеть, нет сети .. со всеми отсюда вытекающими.

[Музалёв Николай]

Получил пока первый ответ от сапрота по поводу неСмены политик SUNCTUARY при перелогине нового NW-пользователя.

you need to use the Windows\Novell logon and not the Novell tray icon, if you don't want to meet this kind of behavior...

Или супостат хорошо прикидывается даунами, или и в самом деле - У/А-лые...

[Timur Kazimirov]

Получил пока первый ответ от сапрота по поводу неСмены политик SUNCTUARY при перелогине нового NW-пользователя.

you need to use the Windows\Novell logon and not the Novell tray icon, if you don't want to meet this kind of behavior...

Или супостат хорошо прикидывается даунами, или и в самом деле - У/А-лые...

Не, Николай, все справедливо (в случае с ЗЕНом все будет точно также). При логине из трея локальный пользователь не меняется.

[Timur Kazimirov]

DLU - Dynamic Local User - политика Зена ( по-моему, этот механизм есть во всех его версиях, по крайней мере во всех более-менее последних - типа Zenworks for Desktops 7 и ZCM10 .. хотя 7-ка щас, по-моему, называется Zenworks Desktop Management = ZDM7 ).

Да это и для ZENworks Starter Pack ("огрызок" 2-го Зена) уже было...

[Музалёв Николай]

локальный пользователь не меняется.

Тимур, это понятно.
Там у них другая ситуация: ограничения налагаются на пользователей сети NW. (Импортируются из Дерева)
При перелогине из трея клиент ВИДИТ, что появился новый NW-пользователь, но политику продолжает применять как для старого, бывшего до того.

В то же время клиент программы принимает и применяет динамически изменяемые правила.

Т.е. уроды просто не стали кодировать маленькую альтернативную ветвь : " при смене NW-пользователя выставьЕГО правила"

И пишут невозьми что:

Если пользователь меняется только через Novell tray icon, это не вызовет никаких изменений в RTNotify, но разрешения должны применятся нормально. Хотя это всё будет недружелюбным и непонятным для пользователя, подключенного к машине. Это касательно версии 4.3.2
Но в версии 4.2.2 похожие глюки были замечены (что политики отображаются корректно в консоли, но к пользователям не применяются), так что просят уточнить какую точно версию вы тестируете.

Такое ощущение, что проф. разработчики просто никогда сами за NW-клиентом не сидели и с NW-сетями не работали...
И ничего, кроме сетей Била не видели.

Но мы пока не сдаёмя, есть маленький шанс продолбить этих проггеров.

[Музалёв Николай]

Ну вот - быстро сказка сказывается... Но договор на поставку уже таки на столе директора и ожидается его подписание.

Все это время тестировали программу и накапливали вопросы на учебу...

Так что тут вроде как решилось...

Однако обозначилась др. проблема, которая по историческим причинам оказалась вне нашего поля зрения,а теперь начальство решило к ней вернуться.

ВОПРОС: каки образом защищаться от недобросовестного легального пользователя, если он задумал недоброе?

(Ситуация: рабочее место ВасиПупкина подпёрто несколькими программами, втч удаленный контроль, санктуаря, etc... Однако наше прямоходящее принесло на службу собственный ноут, подключило его к сети, штатно, под своим логином, зашло в сеть и совершило крадежЪ казенной информации (хоть на СД/флеш, хоть просто к себе на диск ноута).

После чего отключило ноут и в собственном праве покинуло теперь уже бывшее рабочее место.

Т.е - как отслеживать несанкционированный ПК?

Предполагается, что Василий читал, как менять МАКи на десктопе.

[Андрей Старков]

первое что приходит на ум (раз уж он мак умеет менять и защитой на коммутаторе от него не закроешься)
1. по моему, (дома винды нет) НЕ АДМИН не может посмотреть MAC и т.п. -> если он не будет админом то и знать не будет
2. сейчас современные компы, если совсем от энергии не отключены, их стевухи всегда на коммутаторе видятся online - думаю можно по SNMP переход порта в down отслеживать и .. сирену включать короче законодательно утвердить по конторе - из розетки не выдергивать, ни питание, ни локалку - по каждому случаю разбор полетов.

[Boris Morozov]

Не пройдет. А пропадание питания в наших условиях и выдергивание из розеток это вещь нормальная.
И вообще, если он у вас может пронести ноут и прицепить его к сети, то о каком режиме секретности мы вообще говорим.
Если такая паранойя по отношению к собственным сотрудникам, то делаете отдельную зону с раздевалкой и охраной, пусть раздеваются догола, еще рентген какой поставьте и пусть работают в зоне.
Другого варианта я не вижу.
И вообще кто мешает выводить инфу на экран и фотографировать телефоном. Только раздевание догола со стиранием памяти сотрудника на выходе из зоны спасет от утечки.

[Музалёв Николай]

Ой, Борис! А то вы не в том же Городке и не в такой же конторе!

Всё я это понимаю, всё пытаюсь доказать, но начальство настаивает: им "вася говорил..."

Что конкретно говорил им тот вася, остается в тумане (хотя, совсем не исключено, что мы с вами чего-ничего и пропустили...), но вот такое противоречивое требование поставлено: легального пользователя на нашей машине пускать к ресурсам, а на левой машине - нет.

Кстати, один из виндарей предлагал организовать домен и тогда ( по его словам) машина, не будучи ранее зарегистрирована членом домена, не сможет к его ресурсам подключаться, даже если на ней регистрируется правильный прямоходящий.

Это так? или тот виндарь в доменах понимает еще меньше меня?
(Очень мне не любо АД и домены, но если это правильно, то тоже вариант...)

[Lunnyi]

Кстати, один из виндарей предлагал организовать домен и тогда ( по его словам) машина, не будучи ранее зарегистрирована членом домена, не сможет к его ресурсам подключаться, даже если на ней регистрируется правильный прямоходящий.

Это так? или тот виндарь в доменах понимает еще меньше меня?
(Очень мне не любо АД и домены, но если это правильно, то тоже вариант...)

Интересно, чтож за такие ресурсы, в которые без домена не войдешь?