Tengo una PC con Windows 7 con Avast Free Antivirus y Firewall de Windows predeterminado. Necesito que mi PC esté registrada en mi dominio de trabajo para utilizar los recursos de la red. Pero creo que es como darle las claves al administrador del sistema de mi computadora. Él puede saber:
- qué hay en mi computadora (SO, software, archivos, documentos, etc...)
- que sitios web visito
Breve... Creo que poner mi PC en el dominio de trabajo es como instalar TeamViewer en segundo plano y los administradores del sistema pueden hacer lo que quieran.
Sé que esto no es del todo cierto. Pero estoy buscando una manera de PROTEGER MI PRIVACIDAD tanto como sea posible;
- ¿Debo crear una nueva cuenta de Windows específica para trabajar?
- ¿Debo establecer reglas de firewall específicas para esa cuenta?
- ¿Debería usar un proxy como Tor o algo más?
- etc ...
- qué puedo hacer ?
Respuesta1
Hmm... Parece que tienes algunos malentendidos (que creo que pueden ser malentendidos bastante comunes). Permítanme ofrecer algunos detalles aclaratorios.
Es bueno tener conocimientos, como saber cuáles son las capacidades técnicas. Es bueno saber cuáles pueden ser las ventajas y desventajas de determinadas opciones. Por lo tanto, es bueno saber cuáles son los impactos del uso de una variación de Microsoft Windows que admita el modelo de seguridad de Active Directory.
Sé que esto no es del todo cierto. Pero estoy buscando una manera de PROTEGER MI PRIVACIDAD tanto como sea posible;
En realidad... ES verdad.
Cuando su computadora está conectada a la red (que puede incluir cuando está conectada a una VPN), normalmente tendrá acceso remoto a su C:
Si se puede acceder a su computadora mediante una dirección IP de 192.0.2.150, entonces puede visitar \192.0.2.150\c$ y ver todo en su C:
Él puede saber: qué hay en mi computadora (sistema operativo, software, archivos, documentos, etc...)
Como para
que sitios web visito
Ni siquiera necesitas estar en el dominio de Active Directory para eso. Si su computadora usa su red para enviar tráfico, puede verificar los destinos IP del tráfico saliente. Si está utilizando una VPN para que el tráfico pase por la red, ni siquiera necesita estar en el sitio. (Tenga en cuenta que en algunas configuraciones de VPN todo el tráfico de red pasa a través de la VPN y en otras no. Por lo tanto, no todas las VPN causan ese efecto cuando está en un lugar remoto. Además, al menos algún software de VPN puede descargar cierta información de configuración del enrutador. ; nada de eso tiene que ver con si eres parte del dominio de Active Directory o no).
Un enfoque totalmente diferente es que si su computadora usa su servidor DNS, puede ver qué consultas de DNS realiza. Nuevamente, nada de eso tiene que ver con si eres parte del dominio de Active Directory o no.
Si esto se hace comúnmente con software integrado en Windows puede ser otra historia, pero tales capacidades definitivamente existen. (Es posible que necesite obtener software adicional o utilizar funciones integradas en algunos de los equipos que se utilizan).
Incluso peor que simplemente ver qué sitios web visita: el administrador de la red puede ver el contenido de su sesión de navegación web "segura". Si está en un dominio de Active Directory, entonces el administrador de la red puede hacer que su computadora siga ciertas "políticas", incluida la instalación de un certificado HTTPS. Eso permitirá que un proxy HTTPS realice espionaje MITM de tráfico web "seguro", y su computadora confiará en los resultados porque confiará en el certificado HTTPS del proxy web HTTPS.
A diferencia de algunas de las otras "amenazas" que mencioné anteriormente, ésta se realiza con bastante frecuencia. (Los fabricantes de los dispositivos no anuncian esta característica como un "ataque MITM". La anuncian como un "proxy HTTPS" y/o una característica de "inspección profunda de paquetes" ("DPI").
Cuando su computadora está instalada en el dominio de Active Directory, eso significa que su computadora confiará en los criterios de seguridad de un controlador de dominio de Active Directory. Esto permite que su computadora use fácilmente una cuenta de Windows almacenada en los controladores de dominio de Active Directory. Esto también incluye que su computadora verifique en el controlador de dominio las configuraciones de Política de grupo actualizadas que su computadora cumplirá. Utilizando la Política de grupo, se puede instalar software adicional. Esto puede incluir cosas como software de monitoreo de sistemas comerciales comunes. Esto incluye absolutamente la capacidad de instalar software de registro de teclado. (Es de esperar que esto se haga con menos frecuencia, pero la capacidad definitivamente existe).
En breve:
- Si desea una computadora que sea resistente al uso del mundo exterior, considere un sistema operativo seriamente reforzado: OpenBSD puede ser una buena opción.
- Si desea una computadora que sea ampliamente reconocida como fácil de usar, entonces esa es la razón clave por la que muchas personas prefieren usar Microsoft Windows.
- Si desea una computadora que se integre bien con la red de la empresa, lo que incluye permitir que el soporte técnico de la empresa pueda realizar modificaciones en la computadora, entonces haga que la computadora se una al dominio de Active Directory.
La política de la empresa puede exigir que utilice esa tercera opción. Si la empresa tiene una política que le exige que usted siga está más allá del alcance de una discusión sobre capacidades técnicas. Puede que sea cierto que túdeberíadar a la empresa dicho acceso. Independientemente de si ese es el caso o no, el primer párrafo de esta respuesta sigue siendo cierto.
¿Debo crear una nueva cuenta de Windows específica para trabajar?
No es bueno. La "computadora del dominio" (una computadora que se ha "unido al dominio") confiará en un "controlador de dominio" (que es un nombre usado para una computadora "servidor" que ayuda a brindar seguridad en la red). El administrador del dominio puede simplemente usar las cuentas en las que confiará la computadora.
¿Debo establecer reglas de firewall específicas para esa cuenta?
No recomendado. Probablemente no sea lo suficientemente inteligente como para contrarrestar todos los tipos de tráfico de red que podrían usarse para ingresar a la computadora. E, incluso si lo fuera, sería esquizofrénico decir "Confío en la red de la empresa" por un lado (cuando el ordenador se une al dominio) y "No confío en la red de la empresa" por el otro cuando usa el firewall para intentar romper muchas cosas.
Si la computadora actúa como un miembro adecuado del dominio, entonces el administrador de la red puede controlar algunos aspectos del Firewall de Windows integrado.
¿Debería usar un proxy como Tor o algo más?
Ineficaz. Eso puede ayudar a que el tráfico de la red se cifre cuando sale de su tarjeta de red. Eso no impediría que la computadora del dominio ejecute algún software que su administrador de red dice que la computadora del dominio puede ejecutar.
Tenga en cuenta que no estoy diciendo que no deba utilizar Tor. Sólo digo que debes saber exactamente lo que Tor logra y no tener el malentendido de pensar que logra algo diferente. Tor está diseñado para proteger el contenido del tráfico de la red. Tor no está diseñado para proteger a un administrador autorizado de ver qué software se está ejecutando en una máquina o qué hace ese software. Si desea protegerse contra esa capacidad, simplemente digo que Tor sería ineficaz y brindaría protección contra eso, específicamente.
etc... ¿qué podría hacer?
Puede hacer exactamente lo que hizo: hacer preguntas y educarse. En resumen, la solución para mantener la privacidad es no tener el ordenador unido al dominio de Active Directory. Si necesita tener una computadora unida al dominio de Active Directory para hacer ciertas cosas, como acceder a archivos, entonces use otra computadora (que no esté unida al dominio de Active Directory) para realizar sus actividades más "privadas".
(Incluso si está utilizando su propio dispositivo, sepa que los operadores de red pueden ver algunos aspectos como saber a qué sitios de Internet se conecta. Si está utilizando la red de su empresa, eso significa que el operador de red de la empresa puede verlo. Si su dispositivo utiliza un método de comunicación directa con las torres de una compañía de telefonía inalámbrica, entonces será la compañía de telefonía inalámbrica la que tenga esa capacidad. Por cierto, Internet es una red gigante de redes informáticas con la capacidad de verificar/registrar algunos detalles. sobre el tráfico de su red, como la dirección IP de destino, es algo que pueden hacer los operadores de red decualquierred informática que termina participando en el funcionamiento de su comunicación por Internet, no necesariamente solo en el primer salto).
Tengo una PC con Windows 7 con Avast Free Antivirus y Firewall de Windows predeterminado.
Sepa que la mayoría de las empresas antivirus querrán que su producto se pueda vender fácilmente a las personas que administran las redes de la empresa. Por lo tanto, las empresas antivirus normalmentepermitirLos administradores de red tengan acceso para ver cosas como lo que estás pidiendo para permitir que permanezca privado. Esto se debe a que el software que permite a los operadores de red tener dicho acceso es software que normalmente está legítimamenteautorizadoy, por lo tanto, es probable que el software antivirus le permita realizar las tareas sin interferencias. Cuando el software antivirus comienza a bloquear dichas tareas por error, rápidamente reciben una gran cantidad de quejas de los administradores de red que afirman que el software antivirus está interrumpiendo una funcionalidad crítica, por lo que el fabricante del software antivirus trabaja rápidamente para solucionarlo. error".