Eu tenho um PC com Windows 7 com Avast Free Antivirus e Firewall padrão do Windows. Preciso que meu PC esteja registrado em meu domínio de trabalho para usar recursos de rede. Mas acho que é como dar as chaves do meu computador ao administrador do sistema. Ele pode saber:
- o que está no meu computador (sistema operacional, software, arquivos, documentos, etc....)
- quais sites eu visito
Resumindo,... acho que colocar meu PC no domínio de trabalho é como instalar o TeamViewer em segundo plano e os administradores de sistema podem fazer o que quiserem.
Eu sei que isso não é totalmente verdade. Mas estou procurando uma maneira de PROTEGER MINHA PRIVACIDADE tanto quanto possível;
- devo criar uma nova conta do Windows específica para o trabalho?
- devo definir regras de firewall específicas para essa conta?
- devo usar proxy como o Tor de outra coisa?
- etc...
- O que eu poderia fazer ?
Responder1
Hmm... Parece que você tem alguns mal-entendidos (que acredito serem mal-entendidos bastante comuns). Deixe-me oferecer alguns detalhes esclarecedores.
É bom ter conhecimento, como saber quais são as capacidades técnicas. É bom saber quais podem ser as vantagens e desvantagens de certas escolhas. Portanto, é bom saber quais são os impactos do uso de uma variação do Microsoft Windows que suporta o uso do modelo de segurança do Active Directory.
Eu sei que isso não é totalmente verdade. Mas estou procurando uma maneira de PROTEGER MINHA PRIVACIDADE tanto quanto possível;
Na verdade... é verdade.
Quando o seu computador está conectado à rede (o que pode incluir quando conectado à VPN), ele normalmente terá acesso remoto ao seu C:
Se o seu computador for acessível por um endereço IP 192.0.2.150, ele poderá visitar \192.0.2.150\c$ e ver tudo em seu C:
Ele pode saber: o que há no meu computador (sistema operacional, software, arquivos, documentos, etc....)
Quanto a
quais sites eu visito
Você nem precisa estar no domínio do Active Directory para isso. Se o seu computador usar a rede para enviar tráfego, ele poderá verificar os destinos IP do tráfego de saída. Se você estiver usando uma VPN para que o tráfego passe pela rede, você nem precisa estar no local. (Observe que algumas configurações de VPN fazem com que todo o tráfego de rede passe pela VPN, e outras não. Portanto, nem todas as VPNs causam esse efeito quando você está remoto. Além disso, pelo menos alguns softwares VPN podem baixar algumas informações de configuração do roteador ; nada disso tem a ver com o fato de você fazer parte do domínio do Active Directory ou não.)
Uma abordagem totalmente diferente é que se o seu computador usar o servidor DNS, ele poderá ver quais consultas DNS você faz. Novamente, nada disso tem a ver com o fato de você fazer parte do domínio do Active Directory ou não.
Se isso é comumente feito com software integrado ao Windows pode ser outra história, mas esses recursos definitivamente existem. (Ele pode precisar obter software extra ou usar funcionalidades incorporadas em alguns dos equipamentos usados.)
Pior ainda do que apenas ver quais sites você visita: o administrador da rede pode ver o conteúdo da sua sessão de navegação "segura" na web. Se você estiver em um domínio do Active Directory, o administrador da rede poderá fazer com que seu computador siga certas “políticas”, incluindo a instalação de um certificado HTTPS. Isso permitirá que um proxy HTTPS execute espionagem MITM do tráfego da web "seguro", e seu computador confiará nos resultados porque confiará no certificado HTTPS do proxy da web HTTPS.
Ao contrário de algumas das outras “ameaças” mencionadas acima, esta é, na verdade, bastante comum. (Os fabricantes dos dispositivos não anunciam esse recurso como sendo "ataque MITM". Eles anunciam o recurso como "proxy HTTPS" e/ou um recurso de "inspeção profunda de pacotes" ("DPI").
Quando o seu computador está instalado no domínio do Active Directory, isso significa que ele confiará nas avaliações de segurança de um controlador de domínio do Active Directory. Isso permite que seu computador use facilmente uma conta do Windows armazenada no(s) controlador(es) de domínio do Active Directory. Isso também inclui a verificação do computador no controlador de domínio em busca de configurações atualizadas de Política de Grupo com as quais seu computador estará em conformidade. Usando a Política de Grupo, software adicional pode ser instalado. Isso pode incluir coisas como software comum de monitoramento de sistema comercial. Isso inclui absolutamente a capacidade de instalar software de registro de teclado. (Espero que isso seja feito com menos frequência, mas a capacidade definitivamente existe.)
Resumidamente:
- se você deseja um computador que seja resistente ao uso do mundo exterior, considere um sistema operacional seriamente reforçado - o OpenBSD pode ser uma boa escolha.
- Se você deseja um computador que seja amplamente reconhecido como fácil de usar, esse é o principal motivo pelo qual muitas pessoas preferem usar o Microsoft Windows.
- Se você deseja um computador que se integre perfeitamente à rede da empresa, inclusive permitindo que o suporte técnico da empresa possa fazer modificações no computador, faça com que o computador ingresse no domínio do Active Directory.
A política da empresa pode exigir que você utilize essa terceira opção. Se a empresa tem uma política que exige que você siga, está além do escopo de uma discussão sobre capacidades técnicas. Pode ser verdade que vocêdevedar à empresa esse acesso. Independentemente de ser esse o caso ou não, o primeiro parágrafo desta resposta permanece verdadeiro.
devo criar uma nova conta do Windows específica para o trabalho?
Nada de bom. O "computador de domínio" (um computador que "ingressou no domínio") confiará em um "controlador de domínio" (que é um nome usado para um computador "servidor" que ajuda a fornecer segurança na rede). O administrador do domínio pode apenas usar as contas nas quais o computador confiará.
devo definir regras de firewall específicas para essa conta?
Não recomendado. Você provavelmente não é inteligente o suficiente para combater todos os tipos de tráfego de rede que poderiam ser usados para entrar no computador. E, mesmo se você estivesse, seria esquizofrênico dizer "Eu confio na rede da empresa" por um lado (quando o computador ingressa no domínio) e "Eu não confio na rede da empresa" por outro lado, onde você use o firewall para tentar quebrar muitas coisas.
Se o computador estiver agindo como um membro adequado do domínio, o administrador da rede poderá controlar alguns aspectos do Firewall interno do Windows.
devo usar proxy como o Tor de outra coisa?
Ineficaz. Isso pode ajudar a criptografar o tráfego de rede ao sair da placa de rede. Isso não impediria que o computador do domínio executasse algum software que o administrador da rede diz que o computador do domínio pode executar.
Observe que não estou dizendo que você não deveria usar o Tor. Só estou dizendo que você deve saber exatamente o que o Tor realiza e não ter o mal-entendido de pensar que ele realiza algo diferente. O Tor foi projetado para proteger o conteúdo do tráfego de rede. O Tor não foi projetado para proteger um administrador autorizado de ver qual software está sendo executado em uma máquina ou o que esse software faz. Se você quiser se proteger contra essa capacidade, estou simplesmente dizendo que o Tor seria ineficaz e forneceria qualquer proteção contra isso, especificamente.
etc... o que eu poderia fazer?
Você pode fazer exatamente o que fez: fazer perguntas e ser informado. Resumindo, a solução para manter a privacidade é não associar o computador ao domínio do Active Directory. Se for necessário que um computador ingresse no domínio do Active Directory para fazer determinadas coisas, como acessar arquivos, use outro computador (que não esteja ingressado no domínio do Active Directory) para realizar suas atividades mais "privadas".
(Mesmo se você estiver usando seu próprio dispositivo, saiba que as operadoras de rede podem ver alguns aspectos, como saber a quais sites da Internet você se conecta. Se você estiver usando a rede da sua empresa, isso significa que a operadora de rede da empresa pode ver isso. Se o seu dispositivo estiver usando um método de comunicação direta com as torres de uma empresa de telefonia sem fio, então será a empresa de telefonia sem fio que terá essa capacidade. A propósito, a Internet é uma rede gigante de redes de computadores com a capacidade de verificar/registrar alguns detalhes. sobre o tráfego da sua rede, como o endereço IP de destino, é algo que pode ser feito pela(s) operadora(s) de rede dequalquerrede de computadores que acaba sendo envolvida no funcionamento da sua comunicação na Internet, não necessariamente apenas no primeiro salto.)
Eu tenho um PC com Windows 7 com Avast Free Antivirus e Firewall padrão do Windows.
Saiba que a maioria das empresas de antivírus deseja que seus produtos sejam bem vendáveis para as pessoas que administram as redes da empresa. Portanto, as empresas de antivírus normalmentepermitiradministradores de rede tenham acesso para ver coisas como o que você está pedindo para permanecer privado. Isso ocorre porque o software, que permite aos operadores de rede ter esse acesso, é software que normalmente é legitimamenteautorizado, e portanto o software antivírus provavelmente permitirá que esse software execute as tarefas sem interferência. Quando o software antivírus começa a bloquear por engano essas tarefas, eles rapidamente recebem um grande número de reclamações de administradores de rede que afirmam que o software antivírus está quebrando funcionalidades críticas e, portanto, o fabricante do software antivírus trabalha rapidamente para corrigir isso " erro".