我有一台裝有 Avast 免費防毒軟體和預設 Windows 防火牆的 Windows 7 電腦。我需要將我的電腦註冊到我的工作域中才能使用網路資源。但我認為這就像將我的計算機的密鑰交給系統管理員一樣。他可能知道:
- 我的電腦裡有什麼(作業系統、軟體、文件、文件等......)
- 我造訪哪些網站
簡而言之,...我認為將我的 PC 放入工作域就像在後台安裝 TeamViewer,系統管理員可以做他們想做的任何事情。
我知道這並不完全正確。但我正在尋找盡可能保護我的隱私的方法;
- 我應該建立一個專門用於工作的新 Windows 帳戶嗎?
- 我應該為該帳戶設定特定的防火牆規則嗎?
- 我應該使用像 Tor 這樣的代理嗎?
- ETC ...
- 我能做什麼 ?
答案1
嗯...看來你有一些誤解(我認為這可能是很常見的誤解)。讓我提供一些澄清的細節。
有知識是好事,例如知道技術能力是什麼。最好了解某些選擇的優點和缺點。因此,最好了解使用支援 Active Directory 安全性模型的 Microsoft Windows 變體的影響。
我知道這並不完全正確。但我正在尋找盡可能保護我的隱私的方法;
事實上……這是真的。
當您的電腦連接到網路時(可以包括連接到 VPN 時),他通常可以遠端存取您的 C::
如果您的電腦可以透過 IP 位址 192.0.2.150 訪問,那麼他可以訪問 \192.0.2.150\c$ 並查看您的 C: 上的所有內容
他可能知道:我的電腦裡有什麼(作業系統、軟體、文件、文件等......)
至於
我造訪哪些網站
您甚至不需要位於 Active Directory 網域中。如果您的電腦使用其網路傳送流量,他可以檢查傳出流量的 IP 目的地。如果您使用 VPN 來讓流量通過網絡,您甚至不需要在現場。 (請注意,某些VPN 配置的所有網路流量都經過VPN,而有些則不然。因此,當您遠端時,並非所有VPN 都會產生這種影響。此外,至少某些VPN 軟體可能會從路由器下載一些設定資訊;這與您是否屬於 Active Directory 網域無關。
一種完全不同的方法是,如果您的電腦使用他們的 DNS 伺服器,他可以看到您進行的 DNS 查詢。同樣,這與您是否屬於 Active Directory 網域無關。
這是否通常透過 Windows 內建軟體來完成可能是另一回事,但這種功能確實存在。 (他可能需要取得額外的軟體,或使用某些所用設備內建的功能。)
比僅僅查看您造訪的網站更糟糕的是:網路管理員可能能夠看到您的「安全」網路瀏覽會話的內容。如果您位於 Active Directory 網域中,則網路管理員可以讓您的電腦遵循某些“策略”,包括安裝 HTTPS 憑證。這將使 HTTPS 代理程式能夠對「安全性」Web 流量執行 MITM 間諜活動,並且您的電腦將信任結果,因為您的電腦將信任 HTTPS Web 代理程式的 HTTPS 憑證。
與我上面提到的其他一些「威脅」不同,這個威脅實際上很常見。 (設備製造商不會將此功能宣傳為「MITM 攻擊」。他們將此功能宣傳為「HTTPS 代理」和/或「深度資料包檢查」(「DPI」)功能。)
當您的電腦安裝在 Active Directory 網域中時,這表示您的電腦將信任 Active Directory 網域控制站的安全性判斷。這使您的電腦可以輕鬆使用儲存在 Active Directory 網域控制站上的 Windows 帳戶。這也包括您的電腦檢查網域控制器以取得您的電腦將遵守的更新的群組原則設定。使用群組原則,可以安裝其他軟體。這可以包括常見的商業系統監控軟體之類的東西。這絕對包括安裝鍵盤記錄軟體的能力。 (希望這種情況不那麼常見,但這種能力肯定是存在的。)
簡而言之:
- 如果您想要一台能夠抵禦外界使用的計算機,請考慮一個經過嚴格強化的作業系統 - OpenBSD 可能是個不錯的選擇。
- 如果您想要一台被廣泛認為易於使用的計算機,那麼這就是許多人青睞使用 Microsoft Windows 的關鍵原因。
- 如果您希望電腦能夠與公司網路很好地集成,包括讓公司的技術支援能夠對電腦進行修改,那麼請讓該電腦加入 Active Directory 網域。
公司政策可能要求您使用第三個選項。公司有沒有這樣的政策要求你遵守,這超出了技術能力討論的範圍。你可能是真的應該給予公司這樣的存取權限。不管情況是否如此,這個答案的第一段仍然是正確的。
我應該建立一個專門用於工作的新 Windows 帳戶嗎?
不好。 「網域電腦」(已「加入網域」的電腦)將信任「網域控制站」(這是用於協助提供網路安全的「伺服器」電腦的名稱)。網域管理員只能使用電腦信任的帳戶。
我應該為該帳戶設定特定的防火牆規則嗎?
不建議。您可能不夠聰明,無法應付可用於進入電腦的所有類型的網路流量。而且,即使您是這樣,一方面說“我信任公司網路”(當電腦加入網域時),另一方面說“我不信任公司網路”,您會感到精神分裂。
如果電腦的行為像適當的網域成員,則網路管理員可以控制內建 Windows 防火牆的某些方面。
我應該使用像 Tor 這樣的代理嗎?
無效。這可能有助於網路流量在離開網路卡時進行加密。這不會阻止網域電腦執行網路管理員規定網域電腦可以執行的某些軟體。
請注意,我並不是說您不應該使用 Tor。我只是說你應該知道 Tor 完成了什麼,而不是誤以為它完成了不同的事情。 Tor 旨在保護網路流量的內容。 Tor 的設計初衷並不是為了保護授權管理員無法查看電腦上正在執行的軟體或該軟體的用途。如果你想防範這種能力,我只是說 Tor 將無效並提供任何針對這種能力的保護。
等等...我能做什麼?
您完全可以做您所做的事情:提出問題並接受教育。簡而言之,保護隱私的解決方案是不讓電腦加入 Active Directory 網域。如果您需要將電腦加入 Active Directory 網域來執行某些操作(例如存取檔案),則可以使用另一台電腦(未加入 Active Directory 網域)來執行更多「私人」活動。
(即使您使用自己的設備,也要知道網路營運商可以看到某些方面,例如知道您連接到哪些互聯網站點。如果您使用的是公司的網絡,則表示該公司的網路營運商可以觀看到這一點。某些詳細資訊的能力。任何最終參與使您的互聯網通信正常運行的計算機網絡,而不一定只是第一跳。
我有一台裝有 Avast 免費防毒軟體和預設 Windows 防火牆的 Windows 7 電腦。
要知道,大多數防毒公司都希望他們的產品能很好地銷售給經營公司網路的人員。因此,防毒公司通常會允許網路管理員有權查看諸如您要求允許保持私密的內容。這是因為使網路營運商能夠獲得此類存取權限的軟體通常是合法的授權的,因此防毒軟體可能允許此類軟體在不受干擾的情況下執行任務。當防毒軟體錯誤地開始阻止此類任務時,他們很快就會收到來自網路管理員的大量投訴,他們聲稱防毒軟體正在破壞關鍵功能,因此防毒軟體製造商會迅速修復該問題「錯誤」。