Как защитить свой хост-компьютер Windows, если он добавлен в домен AD компании?

Question

Хм... Кажется, у вас возникли некоторые недопонимания (которые, как я полагаю, могут быть довольно распространенными недопониманиями). Позвольте мне предложить некоторые проясняющие детали.

Хорошо иметь знания, например, знать, каковы технические возможности. Хорошо знать, каковы преимущества и недостатки определенных вариантов. Поэтому хорошо знать, каковы последствия использования варианта Microsoft Windows, который поддерживает использование модели безопасности Active Directory.

Я знаю, что это не совсем так. Но я ищу способ ЗАЩИТИТЬ МОЮ КОНФИДЕНЦИАЛЬНОСТЬ настолько, насколько это возможно;

На самом деле... это правда.

Когда ваш компьютер подключен к сети (включая подключение к VPN), он, как правило, имеет удаленный доступ к вашему диску C:.

Если ваш компьютер доступен по IP-адресу 192.0.2.150, то он может посетить \192.0.2.150\c$ и увидеть все на вашем диске C:.

Он может знать: что находится на моем компьютере (ОС, программное обеспечение, файлы, документы и т. д.)

Что касается

какие сайты я посещаю

Для этого вам даже не нужно быть в домене Active Directory. Если ваш компьютер использует их сеть для отправки трафика, он может проверить IP-адреса назначения исходящего трафика. Если вы используете VPN для передачи трафика через сеть, вам даже не нужно быть на месте. (Обратите внимание, что некоторые конфигурации VPN заставляют весь сетевой трафик проходить через VPN, а некоторые — нет. Поэтому не все VPN вызывают такой эффект, когда вы удалены. Более того, по крайней мере, некоторое программное обеспечение VPN может загружать некоторую информацию о конфигурации с маршрутизатора; это не имеет отношения к тому, являетесь ли вы частью домена Active Directory или нет.)

Совершенно другой подход заключается в том, что если ваш компьютер использует их DNS-сервер, он может видеть, какие DNS-запросы вы делаете. Опять же, все это не имеет отношения к тому, являетесь ли вы частью домена Active Directory или нет.

Другой вопрос, делается ли это обычно с помощью встроенного в Windows программного обеспечения, но такие возможности определенно существуют. (Возможно, ему придется приобрести дополнительное программное обеспечение или использовать функциональные возможности, встроенные в часть используемого оборудования.)

Хуже, чем просто просмотр посещаемых вами веб-сайтов: администратор сети может видеть содержимое вашего «безопасного» сеанса веб-браузинга. Если вы находитесь в домене Active Directory, администратор сети может заставить ваш компьютер следовать определенным «политикам», включая установку сертификата HTTPS. Это позволит HTTPS-прокси выполнять MITM-шпионаж «безопасного» веб-трафика, и ваш компьютер будет доверять результатам, поскольку ваш компьютер будет доверять HTTPS-сертификату HTTPS-веб-прокси.

В отличие от некоторых других «угроз», упомянутых мной выше, эта на самом деле встречается довольно часто. (Производители устройств не рекламируют эту функцию как «атаку MITM». Они рекламируют ее как «HTTPS-прокси» и/или функцию «глубокой проверки пакетов» («DPI»).)

Когда ваш компьютер установлен в домене Active Directory, это означает, что ваш компьютер будет доверять решениям безопасности контроллера домена Active Directory. Это позволяет вашему компьютеру легко использовать учетную запись Windows, которая хранится на контроллере(ах) домена Active Directory. Это также включает проверку вашим компьютером контроллера домена на наличие обновленных параметров групповой политики, которым будет соответствовать ваш компьютер. Используя групповую политику, можно установить дополнительное программное обеспечение. Это может включать такие вещи, как распространенное коммерческое программное обеспечение для мониторинга системы. Это, безусловно, включает возможность установки программного обеспечения для регистрации клавиатуры. (Надеюсь, это делается реже, но такая возможность определенно есть.)

Суммируя:

Если вам нужен компьютер, устойчивый к воздействию внешнего мира, рассмотрите вариант с серьезно защищенной операционной системой — OpenBSD может быть хорошим выбором.
Если вам нужен компьютер, который, как широко известно, прост в использовании, то это главная причина, по которой многие люди отдают предпочтение Microsoft Windows.
Если вам нужен компьютер, который хорошо интегрируется с корпоративной сетью, в том числе позволяющий технической поддержке компании вносить изменения в компьютер, то присоедините компьютер к домену Active Directory.

Политика компании может потребовать от вас использования третьего варианта. Имеет ли компания такую политику, которой она требует от вас следовать, выходит за рамки обсуждения технических возможностей. Может быть, вы правы, чтодолженпредоставить компании такой доступ. Независимо от того, так это или нет, первый абзац этого ответа остается верным.

следует ли мне создать новую учетную запись Windows специально для работы?

Ничего хорошего. «Компьютер домена» (компьютер, который «присоединился к домену») будет доверять «контроллеру домена» (это имя, используемое для «серверного» компьютера, который помогает обеспечивать безопасность в сети). Администратор домена может просто использовать учетные записи, которым компьютер будет доверять.

следует ли мне установить особые правила брандмауэра для этой учетной записи?

Не рекомендуется. Вы, вероятно, недостаточно умны, чтобы противостоять всем типам сетевого трафика, которые могут быть использованы для проникновения в компьютер. И даже если бы вы были достаточно умны, было бы шизофренией говорить «Я доверяю сети компании» с одной стороны (когда компьютер присоединяется к домену), и «Я не доверяю сети компании» с другой стороны, когда вы используете брандмауэр, чтобы попытаться сломать кучу всего.

Если компьютер ведет себя как полноправный член домена, то администратор сети может контролировать некоторые аспекты встроенного брандмауэра Windows.

стоит ли использовать прокси типа Tor или что-то еще?

Неэффективно. Это может помочь зашифровать сетевой трафик, когда он покидает вашу сетевую карту. Это не помешает компьютеру домена запустить некоторое программное обеспечение, которое, по словам вашего сетевого администратора, компьютер домена может запустить.

Обратите внимание, что я не говорю, что вам не следует использовать Tor. Я просто говорю, что вы должны знать, что именно делает Tor, и не иметь ошибочного представления, что он делает что-то другое. Tor разработан для защиты содержимого сетевого трафика. Tor не разработан для защиты авторизованного администратора от просмотра того, какое программное обеспечение запущено на машине, или что это программное обеспечение делает. Если вы хотите защититься от этой возможности, я просто говорю, что Tor будет неэффективен, и не предоставляю никакой защиты конкретно от этого.

и т.д. ... что я мог сделать?

Вы можете сделать то же самое, что и сделали: задавать вопросы и получать знания. Короче говоря, решение для сохранения конфиденциальности — не присоединять компьютер к домену Active Directory. Если вам необходимо, чтобы компьютер был присоединен к домену Active Directory для выполнения определенных действий, например, доступа к файлам, то используйте другой компьютер (который не присоединен к домену Active Directory) для выполнения более «конфиденциальных» действий.

(Даже если вы используете собственное устройство, знайте, что сетевые операторы могут видеть некоторые аспекты, например, знать, к каким интернет-сайтам вы подключаетесь. Если вы используете сеть своей компании, это означает, что сетевой оператор компании может это видеть. Если ваше устройство использует метод прямой связи с вышками беспроводной телефонной компании, то именно у беспроводной телефонной компании будет такая возможность. Кстати, Интернет — это гигантская сеть компьютерных сетей. Возможность проверять/регистрировать некоторые данные о вашем сетевом трафике, например, IP-адрес назначения, — это то, что может быть сделано сетевым оператором(ами)любой(компьютерная сеть, которая в конечном итоге участвует в обеспечении работы вашего интернет-соединения, а не обязательно только на первом этапе.)

У меня ПК с Windows 7, антивирусом Avast Free и брандмауэром Windows по умолчанию.

Знайте, что большинство компаний, занимающихся антивирусами, хотят, чтобы их продукт был хорошо продаваемым для людей, которые управляют сетями компании. Поэтому компании, занимающиеся антивирусами, обычнопозволятьадминистраторы сети имеют доступ, чтобы видеть вещи, например, то, что вы просите разрешить оставаться конфиденциальным. Это потому, что программное обеспечение, которое позволяет операторам сети иметь такой доступ, является программным обеспечением, которое обычно законноавторизованный, и поэтому антивирусное программное обеспечение, скорее всего, позволит такому программному обеспечению выполнять задачи без помех. Когда антивирусное программное обеспечение по ошибке начинает блокировать такие задачи, оно быстро получает большое количество жалоб от сетевых администраторов, которые утверждают, что антивирусное программное обеспечение нарушает критически важную функциональность, и поэтому производитель антивирусного программного обеспечения быстро работает над исправлением этой «ошибки».

Answer 1

Хм... Кажется, у вас возникли некоторые недопонимания (которые, как я полагаю, могут быть довольно распространенными недопониманиями). Позвольте мне предложить некоторые проясняющие детали.

Хорошо иметь знания, например, знать, каковы технические возможности. Хорошо знать, каковы преимущества и недостатки определенных вариантов. Поэтому хорошо знать, каковы последствия использования варианта Microsoft Windows, который поддерживает использование модели безопасности Active Directory.

Я знаю, что это не совсем так. Но я ищу способ ЗАЩИТИТЬ МОЮ КОНФИДЕНЦИАЛЬНОСТЬ настолько, насколько это возможно;

На самом деле... это правда.

Когда ваш компьютер подключен к сети (включая подключение к VPN), он, как правило, имеет удаленный доступ к вашему диску C:.

Если ваш компьютер доступен по IP-адресу 192.0.2.150, то он может посетить \192.0.2.150\c$ и увидеть все на вашем диске C:.

Он может знать: что находится на моем компьютере (ОС, программное обеспечение, файлы, документы и т. д.)

Что касается

какие сайты я посещаю

Для этого вам даже не нужно быть в домене Active Directory. Если ваш компьютер использует их сеть для отправки трафика, он может проверить IP-адреса назначения исходящего трафика. Если вы используете VPN для передачи трафика через сеть, вам даже не нужно быть на месте. (Обратите внимание, что некоторые конфигурации VPN заставляют весь сетевой трафик проходить через VPN, а некоторые — нет. Поэтому не все VPN вызывают такой эффект, когда вы удалены. Более того, по крайней мере, некоторое программное обеспечение VPN может загружать некоторую информацию о конфигурации с маршрутизатора; это не имеет отношения к тому, являетесь ли вы частью домена Active Directory или нет.)

Совершенно другой подход заключается в том, что если ваш компьютер использует их DNS-сервер, он может видеть, какие DNS-запросы вы делаете. Опять же, все это не имеет отношения к тому, являетесь ли вы частью домена Active Directory или нет.

Другой вопрос, делается ли это обычно с помощью встроенного в Windows программного обеспечения, но такие возможности определенно существуют. (Возможно, ему придется приобрести дополнительное программное обеспечение или использовать функциональные возможности, встроенные в часть используемого оборудования.)

Хуже, чем просто просмотр посещаемых вами веб-сайтов: администратор сети может видеть содержимое вашего «безопасного» сеанса веб-браузинга. Если вы находитесь в домене Active Directory, администратор сети может заставить ваш компьютер следовать определенным «политикам», включая установку сертификата HTTPS. Это позволит HTTPS-прокси выполнять MITM-шпионаж «безопасного» веб-трафика, и ваш компьютер будет доверять результатам, поскольку ваш компьютер будет доверять HTTPS-сертификату HTTPS-веб-прокси.

В отличие от некоторых других «угроз», упомянутых мной выше, эта на самом деле встречается довольно часто. (Производители устройств не рекламируют эту функцию как «атаку MITM». Они рекламируют ее как «HTTPS-прокси» и/или функцию «глубокой проверки пакетов» («DPI»).)

Когда ваш компьютер установлен в домене Active Directory, это означает, что ваш компьютер будет доверять решениям безопасности контроллера домена Active Directory. Это позволяет вашему компьютеру легко использовать учетную запись Windows, которая хранится на контроллере(ах) домена Active Directory. Это также включает проверку вашим компьютером контроллера домена на наличие обновленных параметров групповой политики, которым будет соответствовать ваш компьютер. Используя групповую политику, можно установить дополнительное программное обеспечение. Это может включать такие вещи, как распространенное коммерческое программное обеспечение для мониторинга системы. Это, безусловно, включает возможность установки программного обеспечения для регистрации клавиатуры. (Надеюсь, это делается реже, но такая возможность определенно есть.)

Суммируя:

Если вам нужен компьютер, устойчивый к воздействию внешнего мира, рассмотрите вариант с серьезно защищенной операционной системой — OpenBSD может быть хорошим выбором.
Если вам нужен компьютер, который, как широко известно, прост в использовании, то это главная причина, по которой многие люди отдают предпочтение Microsoft Windows.
Если вам нужен компьютер, который хорошо интегрируется с корпоративной сетью, в том числе позволяющий технической поддержке компании вносить изменения в компьютер, то присоедините компьютер к домену Active Directory.

Политика компании может потребовать от вас использования третьего варианта. Имеет ли компания такую политику, которой она требует от вас следовать, выходит за рамки обсуждения технических возможностей. Может быть, вы правы, чтодолженпредоставить компании такой доступ. Независимо от того, так это или нет, первый абзац этого ответа остается верным.

следует ли мне создать новую учетную запись Windows специально для работы?

Ничего хорошего. «Компьютер домена» (компьютер, который «присоединился к домену») будет доверять «контроллеру домена» (это имя, используемое для «серверного» компьютера, который помогает обеспечивать безопасность в сети). Администратор домена может просто использовать учетные записи, которым компьютер будет доверять.

следует ли мне установить особые правила брандмауэра для этой учетной записи?

Не рекомендуется. Вы, вероятно, недостаточно умны, чтобы противостоять всем типам сетевого трафика, которые могут быть использованы для проникновения в компьютер. И даже если бы вы были достаточно умны, было бы шизофренией говорить «Я доверяю сети компании» с одной стороны (когда компьютер присоединяется к домену), и «Я не доверяю сети компании» с другой стороны, когда вы используете брандмауэр, чтобы попытаться сломать кучу всего.

Если компьютер ведет себя как полноправный член домена, то администратор сети может контролировать некоторые аспекты встроенного брандмауэра Windows.

стоит ли использовать прокси типа Tor или что-то еще?

Неэффективно. Это может помочь зашифровать сетевой трафик, когда он покидает вашу сетевую карту. Это не помешает компьютеру домена запустить некоторое программное обеспечение, которое, по словам вашего сетевого администратора, компьютер домена может запустить.

Обратите внимание, что я не говорю, что вам не следует использовать Tor. Я просто говорю, что вы должны знать, что именно делает Tor, и не иметь ошибочного представления, что он делает что-то другое. Tor разработан для защиты содержимого сетевого трафика. Tor не разработан для защиты авторизованного администратора от просмотра того, какое программное обеспечение запущено на машине, или что это программное обеспечение делает. Если вы хотите защититься от этой возможности, я просто говорю, что Tor будет неэффективен, и не предоставляю никакой защиты конкретно от этого.

и т.д. ... что я мог сделать?

Вы можете сделать то же самое, что и сделали: задавать вопросы и получать знания. Короче говоря, решение для сохранения конфиденциальности — не присоединять компьютер к домену Active Directory. Если вам необходимо, чтобы компьютер был присоединен к домену Active Directory для выполнения определенных действий, например, доступа к файлам, то используйте другой компьютер (который не присоединен к домену Active Directory) для выполнения более «конфиденциальных» действий.

(Даже если вы используете собственное устройство, знайте, что сетевые операторы могут видеть некоторые аспекты, например, знать, к каким интернет-сайтам вы подключаетесь. Если вы используете сеть своей компании, это означает, что сетевой оператор компании может это видеть. Если ваше устройство использует метод прямой связи с вышками беспроводной телефонной компании, то именно у беспроводной телефонной компании будет такая возможность. Кстати, Интернет — это гигантская сеть компьютерных сетей. Возможность проверять/регистрировать некоторые данные о вашем сетевом трафике, например, IP-адрес назначения, — это то, что может быть сделано сетевым оператором(ами)любой(компьютерная сеть, которая в конечном итоге участвует в обеспечении работы вашего интернет-соединения, а не обязательно только на первом этапе.)

У меня ПК с Windows 7, антивирусом Avast Free и брандмауэром Windows по умолчанию.

Знайте, что большинство компаний, занимающихся антивирусами, хотят, чтобы их продукт был хорошо продаваемым для людей, которые управляют сетями компании. Поэтому компании, занимающиеся антивирусами, обычнопозволятьадминистраторы сети имеют доступ, чтобы видеть вещи, например, то, что вы просите разрешить оставаться конфиденциальным. Это потому, что программное обеспечение, которое позволяет операторам сети иметь такой доступ, является программным обеспечением, которое обычно законноавторизованный, и поэтому антивирусное программное обеспечение, скорее всего, позволит такому программному обеспечению выполнять задачи без помех. Когда антивирусное программное обеспечение по ошибке начинает блокировать такие задачи, оно быстро получает большое количество жалоб от сетевых администраторов, которые утверждают, что антивирусное программное обеспечение нарушает критически важную функциональность, и поэтому производитель антивирусного программного обеспечения быстро работает над исправлением этой «ошибки».

Как защитить свой хост-компьютер Windows, если он добавлен в домен AD компании?

решение1

Связанный контент