【問題】有無辦法讓網管"不知道"我連到那些地方嗎?

[mis339]

很多東西本來就是防君子不防小人！

像RealSpy Monitor還有「偽裝」，一些基本的功能也算完整！
當初買MisKeeper只是看上它能側錄Skype，誰曉得它的偽裝功能超爛，而且一些基本的功能也不夠完整！老實說，只要有一點基本電腦能力都能很快的「解除」它！唉～

[bx2aa]

引用:

作者: mis339

很多東西本來就是防君子不防小人！

像RealSpy Monitor還有「偽裝」，一些基本的功能也算完整！
當初買MisKeeper只是看上它能側錄Skype，誰曉得它的偽裝功能超爛，而且一些基本的功能也不夠完整！老實說，只要有一點基本電腦能力都能很快的「解除」它！唉～

可以用 sc 開啟 Telnet 再去Run .
但是要能連到那台, 主動檢測 tasklist 看看那個 agent 在不在.
是很簡單能夠在任何時候 run 回來.

先將 telnet service 開起來, Telnet 就像 DOS 進到 C: 下
sc \\%1 config tlntsvr start= demand 改為手動
sc \\%1 start tlntsvr 開啟

然後就可以 Telnet 進去, 在檢查 tasklist Agent 在不在?
不在 就 run.

只要能夠遠端管理該 PC 就是防火牆要開您能進入, 且原則必須設為 傳統
使用該 PC Administrators 群組內的 ID 就能去開 Telnet.

我是用 perl 寫ㄧ個幫我 telnet 進去執行特定 .bat
這樣原本要過去使用 Administrators 的帳號去執行就能遠端執行.

[mis339]

引用:

作者: bx2aa

可以用 sc 開啟 Telnet 再去Run .
但是要能連到那台, 主動檢測 tasklist 看看那個 agent 在不在.
是很簡單能夠在任何時候 run 回來.

先將 telnet service 開起來, Telnet 就像 DOS 進到 C: 下
sc \\%1 config tlntsvr start= demand 改為手動
sc \\%1 start tlntsvr 開啟

然後就可以 Telnet 進去, 在檢查 tasklist Agent 在不在?
不在 就 run.

只要能夠遠端管理該 PC 就是防火牆要開您能進入, 且原則必須設為 傳統
使用該 PC Administrators 群組內的 ID 就能去開 Telnet.

我是用 perl 寫ㄧ個幫我 telnet 進去執行特定 .bat
這樣原本要過去使用 Administrators 的帳號去執行就能遠端執行.

這種功能應該是設備本身就要具備或提供的管理功能！
而且，就算Agent有在跑……MisKeeper抓下來的東西……要刪很容易……唉～
現在只能希望使用者不要太聰明了，呵～

[algolee]

引用:

作者: bx2aa

我以前上班時幾乎不上網, 除非遇到問題要找別人是怎麼處理的, 或是有光華牌 PC 沒有驅動程式, 才上網找.
不然就是等休息時間才上, 很少上班時間上, 除非是那個檔案很大但是速度很慢, 我就讓他背景下載.
其餘時間都在想怎麼讓 自己寫的 AUTOSUS.BAT 能做更多事.
把所有體制內的 PC 目前安裝的具回報功能的軟體掌握更精確.
把每台 PC 的 Smart-IT Mcafee ePOAgent WSUS 等的 Client ID
Wins , Internet Explorer 的 Proxy 設定 ......等資料建檔.
每天跑個幾次可以知道每台開機的 PC 設定狀況.
甚至臨時要刪除有安全疑慮的軟體內的某個檔案, 就加進去跑ㄧ次.
以後還能天天檢查有沒有誰沒刪到的.
我還加了個 perl 去 Send 結果到 E-Mail BOX.

要遠端處理所以我要更清楚有什麼方法, 或限制?
要去了解的比別人更多, 才能更快的把問題解決.

粉好~~~ 粉認真的員工

[bx2aa]

引用:

作者: mis339

這種功能應該是設備本身就要具備或提供的管理功能！
而且，就算Agent有在跑……MisKeeper抓下來的東西……要刪很容易……唉～
現在只能希望使用者不要太聰明了，呵～

把那個目錄權限全部移除, 不要繼承.
只留目錄裡的權限, 這樣必須有 Administrators 群組權限才能 取得擁有權
不然 User 就是要知道確切的路徑和檔名才能存取.

還有一種就是把紀錄檔放到 Server 上, 這只能在辦公室的 PC 上設定, 帶回家的 Notebook 就不行.
如果程式寫死的就沒辦法.

那安裝時裝到網路磁碟機上的話可以嗎?
如果可以的話, 那把機殼鎖起來, 不讓從光碟或軟碟開機, 這樣就沒辦法取得 Administrators 權限, 無法登入本機 , 去改不讓 Agent 啟動.

debug out 70 .. 71 .. 讓 cmos 資料出錯會清除 cmos 資料,
應該不能在 2K 以上 "清除 Bios 設定" 為預設值吧?
純 DOS 可以, 2K 以上應該就不行了吧?

[redhung]

從防火牆下手就可以了，除了公司要連線出去的ip之外，其餘的一律丟掉，用什麼連線都一樣啦!!

[mis339]

引用:

作者: bx2aa

把那個目錄權限全部移除, 不要繼承.
只留目錄裡的權限, 這樣必須有 Administrators 群組權限才能 取得擁有權
不然 User 就是要知道確切的路徑和檔名才能存取.

還有一種就是把紀錄檔放到 Server 上, 這只能在辦公室的 PC 上設定, 帶回家的 Notebook 就不行.
如果程式寫死的就沒辦法.

那安裝時裝到網路磁碟機上的話可以嗎?
如果可以的話, 那把機殼鎖起來, 不讓從光碟或軟碟開機, 這樣就沒辦法取得 Administrators 權限, 無法登入本機 , 去改不讓 Agent 啟動.

不管如何，都是老話一句「防君子，不防小人」！
而且，我認為很多功能都是MISKeeper的RD應該要想到的，而不是只滿足於能對Skype錄音和側錄文字訊息而已！

[bx2aa]

引用:

作者: redhung

從防火牆下手就可以了，除了公司要連線出去的ip之外，其餘的一律丟掉，用什麼連線都一樣啦!!

除非只開 http 預設的 port 80
如果開 443 的話, 跟對方網管很熟就應該可以用 SSLVPN 透過對方上網.

end user 希望自己做什麼不給網管知道,user 認為侵犯到他的隱私.
網管想要紀錄 User 做過任何事,網管必須對公司負責,資料不得外洩.

上有政策下有對策, 雖然不能用公司網路上網, 但是 user 還是可以利用公司的電腦, 接上自己的無線網卡, 換上 10db 的 yagi 對準外面 Free 出來的 AP.
如果限制不能安裝網卡, 就加ㄧ部 SWITCH HUB 台幣5~600元那種, 在自己定義ROUTEIN TABLE 預設閘道走無線網路(WL-330G), 公司所有網段走原預設的GATEWAY IP.

不然休息時間換上自己的 03.05.07.PC.ANALYZER.PRO.PLUS-EDUiSO 光碟開機, 接上無線網路, 這樣應該可以吧! 只是中午的休息時間您應該沒意見吧!

[redhung]

呵!我只是個end user，只是我覺得在公司就不要弄那些有的沒的，甚至於個人的私人郵件也最好不要寄到公司，一來可以避免公司責怪你上班不專心，二來可以避免因為個人的原因(誤灌木馬，或是收到木馬郵件)，而導致公司受損(請參考so-net的中木馬新聞)，被公司查到是因為你的原因，才會導致這一連串的事件的話，小心公司把你歸類為元兇，然後就看公司要怎麼宰割了。

[bx2aa]

引用:

作者: redhung

呵!我只是個end user，只是我覺得在公司就不要弄那些有的沒的，甚至於個人的私人郵件也最好不要寄到公司，一來可以避免公司責怪你上班不專心，二來可以避免因為個人的原因(誤灌木馬，或是收到木馬郵件)，而導致公司受損(請參考so-net的中木馬新聞)，被公司查到是因為你的原因，才會導致這一連串的事件的話，小心公司把你歸類為元兇，然後就看公司要怎麼宰割了。

這樣也對!
但是防毒失效時, "有 Administrators 權限才能裝軟體"
如果是透過 Buffer Overflow Exploit 去安裝木馬, 就是系統管理有問題, Patch 沒上.
如果有電腦重木馬或是中毒, 管網路的要很清楚,因為有異常流量.
至少網管都會裝 ids 不然也會裝 ethereal 不然也會裝 tcpdump windump.
ps:
1.我以前用 ethereal 抓到為什麼 Router 會ㄧ直 cpu 100%, 但是網路設備不是我管的, 我只是請網管把 Switch port mirror 到我指定的 port, 用 ethereal 發現某些 PC ㄧ直在大量 ARP

2.以前要檢查有誰還用舊的 Proxy Server 我用 tcpdump win32 版的 windump
抓 所有 PORT 8080 TCP[13] & 3 不等於零的記錄下來
可以抓到 TCP Flag = SYN 或 FIN , 發起 或 終止 的記錄下來其他的都不紀錄.
"網管全部紀錄; 說ㄧ下子就幾 GB, 我就給他 "windump 指令" 只抓 syn fin."
這樣就能檢查我有沒有漏改, 或是我管不到的 PC 還有在用 8080 都能找出來.

我遇過ㄧ個我駐點的公司的員工跟我說, 上個網也不行, 乾脆換到一家可以上網的公司, 他是可以上網的, 只是旁邊的人在碎碎唸, 我跟他說休息時間上應該不會唸了吧!
這個人在我合約到期前就先走了.

現在可以上網應該很普遍吧!沒有 Internet 尤其是資訊部門, 很多怪問題需要找是怎麼發生的該如何處理, 坐在那裡答案不會從天上掉下來阿!
但是有解決方法的網頁通常都會贈送病毒或是木馬,ㄧ點防毒就說有病毒或木馬.

兩年前找不到答案, 上班時間ㄧ空閒就上網查, 下班和假日把家裡的 PC 重裝為 Win XP PRO + Office 97 放假在家研究,才找出解決 Users Group word 97 不能拼字檢查.
也是兩年前報稅軟體 Users Group 權限不能執行也是找不到答案, 到下班 7 點多自己才發現改個 registry 就解決了.

有 Internet 就不能解決, 沒有 Internet 那就不知道該怎麼辦了.