Лолгде? Ты сомневаешься в наличии у мастдая встроенных средств безопасности?

1. Мастдай до сих пор не солит хэш, из-за чего пароли успешно подбираются с помощью радужных таблиц.

2. Мастдай имеет много лет не закрытую дырку с доступом к памяти через FireWire порт. Я правда сомневаюсь, чтобы на серваке он имелся, но и с usb не все гладко.

В общем, при наличии физического доступа мастдай никакой защиты не дает. Правда, сильно и насчет Linux-а сомневаюсь :)

Во первых, возможность запуска исполняемых приложений и прочих скриптов (и даже загрузку DLL-ек) можно зарубить на корню, ограничив лишь допустимыми, проверенными/подписанными файлами. Во вторых, как без 0-day уязвимости процесс с ограниченными правами изменит что-то системное?

они нулевые,недавно опять была рассылка от бывший прогеров мс походу из питера, опять кучу данных зашифровали, а потом бац, и 5 аутсорсинговых фирм больше каспера и вэба друг знают о вирусе....

то есть, ты запретишь админу ставить софт на компы пользователей? интересно. Этот процесс сразу переходит после запуска к написанной службе, то есть, он получает права службы под которую писался, и следственно ограничений у него нет, тк пользователь система выше любых прав админа и компании.

они нулевые

Ну тады ой. Update your system now, как говорится...

Забавно тут то что уже 5 страниц идёт обсуждение ничего не значащих на самом деле технических деталей. Вместо сути вопроса: наколдуйте мне своей техномагии чтобы людишки пахали за копейки и были довольны. Эти «директора» воспринимают вопрос именно как разновидность магии которая типа может всё.

Аутисты такие аутисты.

ты запретишь админу ставить софт на компы пользователей?

Оттестировать, проверить на нехорошее поведение, раздать по AD, настроить политики на тотальный запрет всего остального. Будут, конечно, исключения, в большой организации непременно, в маленькой — может быть, но на то и админ.

Круто, давно 1С, phpstorm, куча портовых программ стали msi?раздать ты можешь офис и продукты мс, но ты не раздашь сип телефоны платные и 1с по АД.

Мастдай до сих пор не солит хэш

Как я понял, они объясняют это использованием того хэша где попало, и что-то там с обратной совместимостью, которой, до недавнего времени, уделяли очень большое внимание.

дырку с доступом к памяти через FireWire порт

Это ФиреВире ещё используется где-то? Ну, удалить из системы его нахрен, раз такое дырявое старьё...

они много что объясняют, и новую файловую систему пилят уже больше 8 лет, но её даже и в 10 винде не будет. Майкрософт завоевали рынок не качеством продукции, а уходом с рынка pc ibm, не желанием novell хавать рынок откатами, и не желанием джобса делать дешёвый сегмент техники. С 2006 года у винды меняется только картинка,и порядок запуска служб.

давно 1С, phpstorm, куча портовых программ стали msi?

Например.

С 2006 года у винды меняется только картинка,и порядок запуска служб

Ты вот это вот счас серьёзно?

Ты про какие встроенные средства?

Я не идеализирую винду, много чего там приводит в ужас, но в ынтырпрайзе альтернативы связке AD + Office + всякое сопутствующее MS-овское ПО на сей день нет.

К сожалению да, если брать десктопные системы, на серверных много улучшений, а вот десктопных сегмент меняет картинку, порядок запуска служб, а 8ка теперь по возможности игнорирует пользователя и уходит в сон вместо выключения.

А не кто не говорит что есть альтернатива, и они это знают, поэтому и ничего не делают, AD единственный вменяемый инструмент с простой настройкой ACL и пользователей.Но вот безопасность там на нуле, без DLP инфраструктура полная дыра.

Вместо сути вопроса: наколдуйте мне своей техномагии чтобы людишки пахали за копейки и были довольны.

И чтобы с них драть деньги за разглашение невероятных технических тайн. Все это ясно

В том числе и из-за остановок производства, которое случается по IT-шным причинам только в виртуальном бизнесе

Я тоже думал, что таких чудес не бывает.

контейнеры rm-ом не удаляются.

Может быть и не удаляются, но бывают случаи гораздо смешнее.

Почитайте как люди хвастают как им хорошо и комфортно работать по 70 часов в неделю в каком-нибудь Apple или Google. Вот оно современное рабство — добровольное и с улыбкой.

Понедельник начинается в субботу? Дотянулись, проклятые Стругацкие с Ефремовым...

Ага, а в Бангладеше и других подобных странах, в которых никогда не было социализма видимо унтерменши живут?

Это вы с кем общаетесь?

Я говорил о обсталом Тайване, который японцы во время окупации с землей сравняли и материковом Китае где было сосредоточено все производство.

Но после того как на материке к власти пришел Мао и прочие комунисты, за 30 лет Тайвань начал обгонять материк и сейчас они обогнали социализм на десятиления.

Понедельник начиется когда угодно

Понедельник начинается в субботу? Дотянулись, проклятые Стругацкие с Ефремовым...

Однако у Стругацких это был фантастический рассказ, а в известных компаниях — реальность сегодняшнего дня.

КНР 9560782км²
КР 36178 км²

Ясн.

Ну, вот это вот всё, UAC, всякие запрещалки на основе политик, AppLocker, шифрование, что-то ещё забыл на ночь глядя.

бывают случаи гораздо смешнее

факапов бояться - в админы не ходить.

Витрины такие витрины, странно почему же большинству стран так не повезло с капитализмом. Почему вы всегда берете самые развитые страны? Тайванцы вообще себя к китайцам не относят. Так что сравнение некокоректное.

Я тебе кажется писал про физический доступ (ну или IPMI, iLO, AMT), но ты похоже долбишься в глаза. Единственное из того что ты перечислил поможет это шифрование, и то при условии, что компьютер запускают вручную. Остальное что ты накукарекал это обскюрити от пользователей и тебя.

обскюрити от пользователей

Ну так накукарекай своё представление о защите данных средствами ОС от физического доступа. Про шифрование уже сказано.

Я же специально написал, что структура AD легко разрушается, даже если одмина будет сидеть без прав в 3000 км от центрального офиса.

А теперь читай тред:

В общем есть у меня знакомый работающий на крупном предприятии, почти 5000 голов

Ты думаешь 5000 клиентов сидят в одном офисе и там одна серверная? Может закончится тем, что один обиженный одмин с удаленного офиса через NTAPI удалит файлы начинающиеся на «$» 5000 компьютерам. А этой особенности AD уже заметим 14 лет.

Социальная инженерия уже давно больше плодов приносит чем ваши кацкирские 0 dayz.

структура AD легко разрушается, даже если одмин будет сидеть без прав в 3000 км от центрального офиса

Как без использования пресловутых 0-day (или эквивалентных им) уязвимостей этот ваш одмин убьёт системные файлы?

один обиженный одмин с удаленного офиса через NTAPI удалит файлы

Для определения степени обиженности ключевых сотрудников в компаниях есть специально обученные люди.

Как без использования пресловутых 0-day (или эквивалентных им) уязвимостей этот ваш одмин убьёт системные файлы?

При физическом доступе к любому DC из AD легко. Делегирование прав не поможет.

Для определения степени обиженности ключевых сотрудников в компаниях есть специально обученные люди.

Лол. Телепаты там ->

физическом доступе к любому DC из AD

одмина будет сидеть без прав в 3000 км от центрального офиса

Кто там про «в глаза долбишься» интересовался? Кроме того, никто не запрещал пользовать бэкапы и восстановление этой вашей AD.

Я посмютрю на сколько встанет организация из 5000 компьютеров после того как с компьютеров удалятся $. И ты задолбал меня с эрзентом путать. Я написал про то, что делегирование политик при наличии доступа к любому серверу - фикция. Долбись в глаза меньше.

И да админа будет сидеть без прав, но при физическом доступе к одному из контроллеров домена.

на сколько встанет организация из 5000 компьютеров после того как с компьютеров удалятся $

Всяко лучше, если оная организация сможет подняться из бэкапов, чем если всё бесповоротно накроется медным тазом.

но при физическом доступе к одному из контроллеров домена

Ну что, что этот админ сможет сделать такого «социально-инженерного» (0-day — для хацкиров в коротких штанишках, как я тебя понял)? Попытаться пароль подобрать? Есть счётчик неудачных попыток входа, с сообщением куда надо после превышения лимита. Подломить тот FireWire? Удалить с сервера всё ненужное, вплоть до физического ограничения доступа к неиспользуемым портам.

Ну что, что этот админ сможет сделать такого «социально-инженерного» (0-day — для хацкиров в коротких штанишках, как я тебя понял)? Попытаться пароль подобрать? Есть счётчик неудачных попыток входа, с сообщением куда надо после превышения лимита. Подломить тот FireWire? Удалить с сервера всё ненужное, вплоть до физического ограничения доступа к неиспользуемым портам.

Понятно, летай дальше в своих облаках и ходи на курсы MS. Детсад штаны на лямках. Заодно подумай над фразой «Obscurity is not security».

Диагноз по юзерпику поставлен очень OK. По сути вопроса сказать тебе, как понимаю, особо и нечего.

с тобой просто говорит не о чем, ты говоришь фразы маркетологов мс и apt решений.

Так я уже который раз спрашиваю о методах решения подобной проблемы, пусть даже в более других ОС. Чота в ответ даже фраз маркетологов не слышно.

А то получается, что говорить не о чем, потому что сказать нечего. «Фразы маркетологов мс и apt решений» при построении из них ынтырпрайз-системы худо-бедно, но работают.

Обязанности:
• Сопровождение периферийного оборудования
• Организация рабочих мест пользователей
• Предоставление пользователям доступа к информационным ресурсам компании
• Своевременное создание и блокирование учетных записей пользователей ИС
• Сопровождение системы учета рабочего времени
• Поддержка в актуальном состоянии БД по оборудованию компании
• Сопровождение операционных систем, специализированного ПО
• Администрирование БД Oracle, БД 1С

Требования: • Опыт работы на должности системного администратора от 6 лет
• Английский на уровне свободного общения
• Знание сетевого аппаратного и программного обеспечения
• Опыт эксплуатации серверных платформ
• Знание функционирования сетевых служб
• Знание продуктов Microsoft
• Знание систем виртуализации - Microsoft, VMware, Citrix. RDP, Remote Desktop
• Знание механизмов маршрутизации и организации VPN-каналов

Условия:
• Работа в крупной холдинговой компании
• Оформление согласно ТК РФ
• Заработная плата 38 000 руб. gross

класс в питере вакансии.

Я же тебе еще раз пишу.

1. Делается это стандартными средствами windows server. 2. Для этого не надо снимать винт. 3. Единственное потребуется 1 раз перезагрузить сервер.

Приспособятся и переживут и найдут пути обхода. Чисто из духа совренования и обхода запретов. Знаю случай, пару лет назад решили отключить сотрудникам интернет, так никакая продуктивность не повысилась. Наоборот. Сотрудники перешли на чтение книжек, всякие рукоделия, перекуры... А самое ужасное стали больше между собой общаться, сбились в стаи, напридумывали развлечений, дискуссий, споров и втянули в них даже прилежных трудоголиков-одиночек. В итоге интернет постепенно вернули обратно.

Тайванцы вообще себя к китайцам не относят.

Враньё.
Разговаривал со многими китайцами с тайваня, они считают себя китайцами.

Почему вы всегда берете самые развитые страны?

На момент разделения, Тайвань был более отсталым чем материковый Китай и японцы уничтожили там даже зачатки пром производства.
На материке же все выжило.

Давайте сравним любые 2 страны разделенные на капитализм и социализм. Таких достаточно много:
ГДР-ФРГ
Северная Корея-Южная
Молдова-Румыния
Карелия-Финляндия
КНР-КР(Тайвань)
Очень хорошо прослеживается отставание социализма в разы как по промышленному развитию так и по социальному, часто голод и вымирание населения стран с социализмом.

Приведите другие варианты, если знаете, где социалистическая часть обошла капиталистическую.

Ну вот, первая контора в питере уже решилась на советы форума. Ваши господа предположения, во что превратится скоро работа?

делить на ноль нельзя. Безопасность стОит денег. И не малых. А они хотят и рыбку съесть, и попу не уколоть.

гулаг был эффективен

это неправда. Кроме гулага, были ещё миллионы комсомольцев, которые стройными рядами ехали подымать «Стройки Века». ЗК делали лишь ту работу, в которой вредительство было невозможно. И то при поддержке сотен тысяч вертухаев и тех же идейных комсомольцев.

Да, в это трудно поверить, но пропаганда в СССР была развёрнута очень хорошо, и работала чрезвычайно эффективно. Как и институт стукачества и среди комсомольцев, и среди ЗК.

Но стукачества и пропаганды в ОП нету. Есть только закручивание гаек и урезание пайки.

Не взлетит.

если гулаг с меньшими затратами будет равен по эффективности «раю», работодатели выберут гулаг.

только надо предусмотреть вертухаев, идейных, и стукачей. Причём всех их ещё и кормить надо.

А у ТСа всё наоборот. Проблема аффтора ЦУ в том, что он думает, что «компьютер будет работать стукачом и вертухаем». Увы, и первый и второй должен быть человеком. Компьютер может стучать только на другие компьютеры, да и бить плетью тоже только компьютеры. Такие дела.

И да, СССР конечно был дерьмовой страной. Но не забывай, что если там вкалывать у станка/за кульманом, можно было и хлеб с маслом есть, и квартиру/дачу/машину получить. А в рашке — увы. Начнём с того, что в Этой Стране даже станка нет. Только отвёрточная сборка деталей, которые разработали и сделали в других странах. Т.ч. больше, чем на миску риса в день ты сможешь заработать, только если работаешь не здесь, и/или командуешь толпой быдла.

Еще раз особо одаренного кленовника спрашиваю, почему Бангладешу, Филиппинам и многим другим странам не повезло с капитализмом?

ГДР-ФРГ

Кстати из ГДР вывезли почти все оборудование, а в ФРГ вбухали деньги, мой унылый друк.

MD

«сравним любые 2 страны разделенные на капитализм и социализм Молдова-Румыния» и «Карелия-Финляндия»

ящетаю это пять! ;)