Перейти к содержимому


Фото
- - - - -

Пользователи агента боятся, что мы за ними следим :)


  • Please log in to reply
40 ответов в этой теме

#1 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 10:18

Наиболее адекватные товарищи прямо спрашивают, имеем ли мы теперь доступ к их компьютеру, другие просто распространяют слухи. Не знаю как ответить, не вдаваясь в многочисленные технические подробности, а в интернет описания возможностей агента простым языком не могу найти. Может есть какой-то официальный ответ на подобное?

 

(Dr.Web в такой же конфигурации у них стоял всегда, только домашний и соответственно без агента.)



#2 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 10:21

Официального ответа нет.

По факту – да, доступ к машинам имеется с правами local system, но вот воспользоваться им не так просто. Пока что…

Правда непонятно, чего бояться корпоративным пользователям. За ними большой брат и так может следить другими средствами.


Сообщение было изменено Afalin: 08 Сентябрь 2017 - 10:22

Семь раз отрежь – один раз проверь

#3 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 10:43

По факту – да, доступ к машинам имеется с правами local system, но вот воспользоваться им не так просто. Пока что…

 

 

Если штатными средствами сервера "доступа" нет кроме как к антивирусным функциям, то хотелось бы чтобы об этом было явно где-то заявлено и можно было показать. (А если когда-то такая функция будет реализована, то советую сразу делать ее отключаемой при установке -- но сейчас не об этом.)

 

 

За ними большой брат и так может следить другими средствами.

 

 

Вот с этого объяснение не хочется начинать как раз :) Как и с того что с их типичной компьютерной гигиеной полстраны может за ними следить без особых проблем.



#4 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 11:21

Если штатными средствами сервера "доступа" нет кроме как к антивирусным функциям, то хотелось бы чтобы об этом было явно где-то заявлено и можно было показать.

Есть они, есть, но очень своеобразные. И когда ими хочется реально воспользоваться для дела – это оказывается довольно непросто.

(А если когда-то такая функция будет реализована, то советую сразу делать ее отключаемой при установке -- но сейчас не об этом.)

Не думаю, что в enterprise это имеет смысл. Там админ – царь и бог. Другое дело в предоставлении услуг физическим лицам, там проблема privacy стоит, да.


Семь раз отрежь – один раз проверь

#5 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 11:40

Есть они, есть, но очень своеобразные.

 

 

Боюсь, что это как раз "многочисленные технические подробности", в которые я не хотел вдаваться. А так-то догадываюсь, что компьютер пользователя достаточно много кода и псевдокода получает от сервера, чтобы сервер при желании мог сделать на нем что угодно.

 

 

Не думаю, что в enterprise это имеет смысл. Там админ – царь и бог.

 

 

В Enterprise, особенно в финансовых организациях, легко можно натолкнуться на регуляторные ограничения доступа к информации. Хотя в моем случае дело не в этом, нужно просто убедить людей что намеренно сделанной и документированной функции большого брата там нет (кроме офисного контроля конечно, который мы не используем).



#6 OdaN

OdaN

    tough guy

  • Posters
  • 921 Сообщений:

Отправлено 08 Сентябрь 2017 - 11:43

Кроме офисного контроля и запуска исполняемых файлов из планировщика заданий ничего нет.

 

ИМХО если люди не верят официальной документации, то их уже ничего не убедит.


Best regards


#7 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 12:09

Кроме офисного контроля и запуска исполняемых файлов из планировщика заданий ничего нет.

 

ИМХО если люди не верят официальной документации, то их уже ничего не убедит.

 

Вот, а есть место в официальной документации, куда их можно ткнуть? Надеялся найти на сайте Dr.Web какую-нибудь страничку, как по другим компонентам, типа Агент Dr.Web: следит за обновлением версий, передает статистическую информацию об угрозах на сервер и т.д., но не нашел.



#8 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 12:13

В официальной документации можно найти, что в продукте есть. Но слов, что "больше ничего нет" там не должно быть.


Семь раз отрежь – один раз проверь

#9 OdaN

OdaN

    tough guy

  • Posters
  • 921 Сообщений:

Отправлено 08 Сентябрь 2017 - 12:17

там не должно быть.

Их там и нет.

 

 

 

Кроме офисного контроля и запуска исполняемых файлов из планировщика заданий ничего нет.

 

ИМХО если люди не верят официальной документации, то их уже ничего не убедит.

 

Вот, а есть место в официальной документации, куда их можно ткнуть? Надеялся найти на сайте Dr.Web какую-нибудь страничку, как по другим компонентам, типа Агент Dr.Web: следит за обновлением версий, передает статистическую информацию об угрозах на сервер и т.д., но не нашел.

 

Для агента ES  - покомпонентно - https://download.geo.drweb.com/pub/drweb/esuite/10.1.0/documentation/html/ru/agent/ - раздел "Компоненты защиты"


Сообщение было изменено Kirill Zaets: 08 Сентябрь 2017 - 12:18

Best regards


#10 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 08 Сентябрь 2017 - 12:58

Возможно, пользователей успокоит факт работы под версией, сертифицированной ФСТЭК?
Почтовый сервер Eserv тоже работает с Dr.Web

#11 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 14:04

Коллеги, спасибо за разъяснения и помощь, в целом ситуация понятна (хотя если будут еще идеи -- готов услышать). Kirill Zaets отдельное спасибо за ссылку.

 

Возможно, пользователей успокоит факт работы под версией, сертифицированной ФСТЭК?

Не думаю...



#12 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 14:07

хотя если будут еще идеи -- готов услышать

Если у Вас идеи будут – тоже заносите.


Семь раз отрежь – один раз проверь

#13 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 08 Сентябрь 2017 - 14:34

хотя если будут еще идеи -- готов услышать

Скажите своим сотрудникам, что будете внедрять DLP-систему. Тогда меньше будут слухи распространять и работать больше. Сейчас все друг за другом следят. Это нормально.

Сообщение было изменено Aleksandra: 08 Сентябрь 2017 - 14:35

Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#14 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 14:45

В Enterprise, особенно в финансовых организациях, легко можно натолкнуться на регуляторные ограничения доступа к информации. Хотя в моем случае дело не в этом, нужно просто убедить людей что намеренно сделанной и документированной функции большого брата там нет (кроме офисного контроля конечно, который мы не используем).

Кстати, раз тему подняли… Как лично Вы это себе видите? Есть продукт с централизованным управлением, по умолчанию конечные пользователи бесправны, и права все настраиваются опять же админом. Так вот, функции большого брата отключать на сервере – наверное, неубедительно, на станциях – бессмысленно, потому что это повредит в подавляющем большинстве случаев. Мне таки видится исключительно первый вариант, с которым неминуемо возвращаемся к сабжу. Плюс наличие этого функционала (когда он расширится) ещё и документировано будет.


Сообщение было изменено Afalin: 08 Сентябрь 2017 - 14:45

Семь раз отрежь – один раз проверь

#15 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 15:22

Так вот, функции большого брата отключать на сервере – наверное, неубедительно, на станциях – бессмысленно, потому что это повредит в подавляющем большинстве случаев.

 

Это все непросто, но примеры систем, в которых админ -- не царь и бог, существуют, и не только в РВСН. Полученный от вендора код может быть подписан и подпись может проверяться агентом (надеюсь что сейчас это делается для исполняемых файлов, а можно и для любых скриптов и действий в т.ч. со стороны сервера). В случае необходимости выполнения произвольного кода, введенного на сервере, агент может запрашивать подтверждение у пользователя, а тот в свою очередь требовать объяснений у админа -- даже если пользователь не в состоянии такой код проверить, он будет знать о факте доступа. Если этого недостаточно, то произвольный код может проходить проверку у внутреннего или внешнего аудитора, который тоже будет ставить свою электронную подпись ну и т. д. до бесконечности в зависимости от требований... (Я не говорю что мне все это нужно, но знаю организации где это норма жизни.)



#16 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 08 Сентябрь 2017 - 15:24

qm2k, пользователь не является ни админом, ни экспертом ИБ. И такие задачи несколько за рамками его нужд и квалификации.



#17 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 15:30

надеюсь что сейчас это делается для исполняемых файлов, а можно и для любых скриптов и действий в т.ч. со стороны сервера

Делается. И для скриптов в том числе. Но в целях защиты себя от воздействия со стороны вредоносного ПО и прочих злоумышленников.

 

В случае необходимости выполнения произвольного кода, введенного на сервере, агент может запрашивать подтверждение у пользователя, а тот в свою очередь требовать объяснений у админа -- даже если пользователь не в состоянии такой код проверить, он будет знать о факте доступа.

Так всё равно возвращаемся к первоначальному вопросу. В большинстве случаев нужно будет, чтоб от пользователя это наоборот никак не зависело. Тут можно б было разве что говорить об отдельном продукте для отдельной категории потребителей, где бы решения принимали пользователи, а не админ. Уже несколько другой уровень решения проблемы.


Сообщение было изменено Afalin: 08 Сентябрь 2017 - 15:32

Семь раз отрежь – один раз проверь

#18 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 15:42

 

надеюсь что сейчас это делается для исполняемых файлов, а можно и для любых скриптов и действий в т.ч. со стороны сервера

Делается. И для скриптов в том числе. Но в целях защиты себя от воздействия со стороны вредоносного ПО и прочих злоумышленников.

 

В случае необходимости выполнения произвольного кода, введенного на сервере, агент может запрашивать подтверждение у пользователя, а тот в свою очередь требовать объяснений у админа -- даже если пользователь не в состоянии такой код проверить, он будет знать о факте доступа.

Так всё равно возвращаемся к первоначальному вопросу. В большинстве случаев нужно будет, чтоб от пользователя это наоборот никак не зависело. Тут можно б было разве что говорить об отдельном продукте для отдельной категории потребителей, где бы решения принимали пользователи, а не админ. Уже несколько другой уровень решения проблемы.

 

Так в большинстве случаев админу и не нужно выполнять произвольный неподписанный код на компьютерах пользователей, так как весь код обновлений может быть подписан вендором. Необходимость возникает только если либо админ либо вендор где-то накосячили и обновление штатным образом стало невозможным.



#19 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 08 Сентябрь 2017 - 16:10

Так в большинстве случаев админу и не нужно выполнять произвольный неподписанный код на компьютерах пользователей, так как весь код обновлений может быть подписан вендором. Необходимость возникает только если либо админ либо вендор где-то накосячили и обновление штатным образом стало невозможным.

Это же не ограничивается только запуском кода. Допустим, доступ к данным на чтение/запись – тоже же достоин большого брата?

Кстати, когда косячит вендор, он таки выпускает подписанный fixup.


Семь раз отрежь – один раз проверь

#20 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 08 Сентябрь 2017 - 16:21

Допустим, доступ к данным на чтение/запись – тоже же достоин большого брата?

А зачем серверу и его админу такой доступ?




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых