Комментарии 51
Подсказывают варианты с трудовыми договорами и договорами о материальной ответственности, но что-то я в такие договоры не верю.
Во-первых поставить софт на чужие компы не так уж просто. Доступ к чужому рабочему месту должен быть заведомо ограничен, но вообще сотрудник скачущий между компами и не являющийся админом явно вызовет подозрения.
Во-вторых организация является владельцем оборудования, ПО принадлежащего организации и результатов труда сотрудников в рамках договора. Остальная информация на компах - объект разбирательства. Для упрощения можно выпустить приказ "О порядке установки ПО и хранения информации", который будет определять метод фиксирования происхождения информации, факта ее размещения (в частности установки ПО).
Во-вторых вы когда-нибудь пробовали стучать? Просто по стуку приходит только РосПотребНадзор и то после десятого раза. Остальные только по заказу.
Во-вторых организация является владельцем оборудования, ПО принадлежащего организации и результатов труда сотрудников в рамках договора. Остальная информация на компах - объект разбирательства. Для упрощения можно выпустить приказ "О порядке установки ПО и хранения информации", который будет определять метод фиксирования происхождения информации, факта ее размещения (в частности установки ПО).
Во-вторых вы когда-нибудь пробовали стучать? Просто по стуку приходит только РосПотребНадзор и то после десятого раза. Остальные только по заказу.
Ну не только по заказу, а еще по необходимости закрыть план или возможности стрясти бабла за прекращение неприятностей. Кстати, и для заказа тоже подходящий сценарий.
Поставить софт не обязательно на чужие компы. Рабочее место сотрудника-то тоже принадлежит организации. Да и, на самом деле, очень просто поставить софт на чужие компы. Либо по сетке на расшаренную папочку залить, а потом запустить в перерыве, либо просто задержаться после рабочего дня. Это не редкость. Ограничить доступ на чужие рабочие места это ж сканер сетчатки ставить? Бронированные двери? Индивидуальные кабинеты?
Приказ, к сожалению, для басманного левосудия ничего не значит. "Ну издал приказ, а потом пошел и сам поставил", так будут рассуждать.
Поставить софт не обязательно на чужие компы. Рабочее место сотрудника-то тоже принадлежит организации. Да и, на самом деле, очень просто поставить софт на чужие компы. Либо по сетке на расшаренную папочку залить, а потом запустить в перерыве, либо просто задержаться после рабочего дня. Это не редкость. Ограничить доступ на чужие рабочие места это ж сканер сетчатки ставить? Бронированные двери? Индивидуальные кабинеты?
Приказ, к сожалению, для басманного левосудия ничего не значит. "Ну издал приказ, а потом пошел и сам поставил", так будут рассуждать.
План считают по размеру правонарушения. Одна крупная контора как сотня мелких, но по времени экономичнее.
На компах сотрудников обычно ставятся пароли.
Что принадлежит организации я описал выше.
В конце концов если ваш коллега возьмет с вашего стола ручку и воткнет ее в глаз бухгалтеру, вряд ли вас посадят даже за халатность в хранении объекта повышенной опасности.
Если нет возможности практического ограничения доступа к рабочему месту, необходимо реализовать возможность достоверного установления лица, совершившего деяние, над этим я подумаю и отпишу позже.
Приказ нужен для того, чтобы когда установлено кто совершил деяние не возникало ситуаций "мне директор/начальник/зам/уборщица" дал диск, и сказал установить.
На компах сотрудников обычно ставятся пароли.
Что принадлежит организации я описал выше.
В конце концов если ваш коллега возьмет с вашего стола ручку и воткнет ее в глаз бухгалтеру, вряд ли вас посадят даже за халатность в хранении объекта повышенной опасности.
Если нет возможности практического ограничения доступа к рабочему месту, необходимо реализовать возможность достоверного установления лица, совершившего деяние, над этим я подумаю и отпишу позже.
Приказ нужен для того, чтобы когда установлено кто совершил деяние не возникало ситуаций "мне директор/начальник/зам/уборщица" дал диск, и сказал установить.
За что же тогда прессуют Поносова?
За то что он не может доказать что это не он давал распоряжение на установку нелегального ПО (презумпция невиновности только в УК действует)
Вот именно. И как сможет гендиректор доказать, что не давал устного распоряжения?
Собственно, именно такая абсурдная ситуация с левосудием в России и делает реальной описанную мной угрозу.
Собственно, именно такая абсурдная ситуация с левосудием в России и делает реальной описанную мной угрозу.
Ну так приказ для этого. Все сотрудники при приеме на работу должны быть ознакомлены с тем что софт ставится только по спецбумажке и только админом. Это аналогично тому, что деньги без расходного кассового ордера, человек ответственный за кассу не выделит. И вообще камеру в офисе повесить и не мучаться, заодно от неправомерных действий сотрудников всяких инстанций оградит.
Окей. Если бы Поносов показал приказ, что софт ставится только по спецбумажке, его бы не стали терзать?
Вот приходит сотрудник на испытательный, подписывает такой приказ, мол, ознакомлен.
Ознакомился, да понаставил на комп пиратский софт, залил MP3 и прочего хлама.
Срок вышел. Недовольный сотрудник идет и подставляет контору.
Приказ-то есть, подпись есть. А как директор будет доказывать (выше писали, что презумпция невиновности тут не работает), что это не он устно приказывал софт ставить, что не он сам его и поставил??
Вот приходит сотрудник на испытательный, подписывает такой приказ, мол, ознакомлен.
Ознакомился, да понаставил на комп пиратский софт, залил MP3 и прочего хлама.
Срок вышел. Недовольный сотрудник идет и подставляет контору.
Приказ-то есть, подпись есть. А как директор будет доказывать (выше писали, что презумпция невиновности тут не работает), что это не он устно приказывал софт ставить, что не он сам его и поставил??
Нужен не только приказ, но и бумажки по которым софт ставится.
Нет бумажки - отвечает установивший.
В приказе как раз и написано, что любое незафиксированное размещение информации без должно оформленного указания запрещено, разместивший несет ответственность и блаблабла.
Нет бумажки - отвечает установивший.
В приказе как раз и написано, что любое незафиксированное размещение информации без должно оформленного указания запрещено, разместивший несет ответственность и блаблабла.
А как директору, лишенному презумпции невиновности, доказать, что это не он установил контрафакт, а именно работник?
В ответ на "проверку" сказать а это не я, потому что я запрещал? Хи-хи, на это судам наплевать будет :(
В ответ на "проверку" сказать а это не я, потому что я запрещал? Хи-хи, на это судам наплевать будет :(
Я сейчас о юридической составляющей, которая гарантирует, что если виновный найдется, он ответственность не перекинет.
В технические ньюансы определения установившего вдаваться не хочется - внизу достаточно понаписали.
У моих сотрудничков на компах работает простенький скрипт, который новые файлы выявляет, и если среди них есть исполняемые - рапортует. Несложно добавить туда проверку мп3, видео и прочих нежелательных файлов.
Кстати ещё неизвестно каким образом например доказывается что мп3 или видеофайл находится под защитой авторских прав - внутри файлов этого обычно не пишут..
В технические ньюансы определения установившего вдаваться не хочется - внизу достаточно понаписали.
У моих сотрудничков на компах работает простенький скрипт, который новые файлы выявляет, и если среди них есть исполняемые - рапортует. Несложно добавить туда проверку мп3, видео и прочих нежелательных файлов.
Кстати ещё неизвестно каким образом например доказывается что мп3 или видеофайл находится под защитой авторских прав - внутри файлов этого обычно не пишут..
А пароль от рабочего места сотрудника всегда есть у сисадмина. Комп принадлежит организации, а если на компе хранятся MP3 и фильмы пиратские, то кого за них прихватят органы?
Автор, вспомните в какой стране мы живём.
У "нерадивого сотрудника" есть все шансы потом ответить "по понятиям" за свои явно не джентельменские действия.
У "нерадивого сотрудника" есть все шансы потом ответить "по понятиям" за свои явно не джентельменские действия.
> Конечно, защита от таких угроз должна быть многоуровневой, начиная от контроля доступа в офис.
начиная с набора адекватных сотрудников.
начиная с набора адекватных сотрудников.
по поводу Линукса: не хочу развязывать холивар, мне линукс симпатичен и на домашнем компьютере у меня ubuntu. но: что, в Windows нет возможности устанавливать права, квоты и следить за изменениями на жёстком диске? если вы берётесь это утверждать, то вы, как минимум, некомпетентны.
Одним из способов защиты мне видится переход на ОС, позволяющие реально контролировать права доступа, раздавать квоты и отслеживать изменения на жестком диске.
Если у вас где-то есть машины с FAT, меняем файловую систему на NTFS, далее лишаем пользователя прав администратора. Лучше всего чтобы машины пользователей были в AD. Установка ПО только через политики AD. Доступ на запись разрешаем только в строго определенные места. Думаю этого хватит.
А если в виндах запретить, скажем, доступ на запись в каталоги, где программы или винда хранят временные файлы, разве не будет проблем с работоспособностью софта?
А зачем туда запрещать? К тому же если пользователь работает от своего именного пользователя, то и файлы будут записаны от его имени, но не от системы.
Вот только такая штука, нашим "компетентным" судам хрен докажешь, что записанный от имени юзера файл записан именно юзером. Да и адвокат юзера запросто может сказать, что у сисадмина есть возможность залогиниться под любым пользователем, чтобы оного подставить.
Сугубо говоря вам никто не мешает вчинить встречный иск. К тому же если у компании были плохие отношения с работником и в момент появления файлов работник был на работе, суд не должен исключать возможность подлога со стороны пользователя.
Если сотрудник не дурак, он при помощи Total Commander изменит атрибуты файла. Только что я у одного из файлов поставил время модификации и создания 01.08.2008. Так что копируете себе пиратский MP3, ставите время создания - через неделю после увольнения и... вуаля!
я бы избрал вариант проще
1) проводится опись-инвентаризация софта на компьютере, точно обозначается какой софт был куплен компанией и, соответственно, необходим сотруднику для работу.
2) с сотрудника берется письменная расписка, что он ознакомлен с результатами инвентаризации, что других софтин для работы ему не нужно
3) в эту расписку включается самый главный пункт о том, что все "лишнее", что не вошло в инвентаризацию - личное дело каждого сотрудника
1) проводится опись-инвентаризация софта на компьютере, точно обозначается какой софт был куплен компанией и, соответственно, необходим сотруднику для работу.
2) с сотрудника берется письменная расписка, что он ознакомлен с результатами инвентаризации, что других софтин для работы ему не нужно
3) в эту расписку включается самый главный пункт о том, что все "лишнее", что не вошло в инвентаризацию - личное дело каждого сотрудника
Ага, а вот что делать, если бухгалтер тетя Дуся скажет: "Ой, я ничего там не понимаю в ваших кампьютерах, и что вы мне там понаставили, определить не могу, за сим ничего подписывать не стану"?
А тот, кто понимает, скажет: "Мне что, перелопачивать 120 гигабайт и искать, что еще кроме описи еще есть?".
Потом, как доказать, что "лишнее" поставил именно сотрудник? Ведь админ и директор, соответственно, имеют доступ ко всем компам вообще.
А тот, кто понимает, скажет: "Мне что, перелопачивать 120 гигабайт и искать, что еще кроме описи еще есть?".
Потом, как доказать, что "лишнее" поставил именно сотрудник? Ведь админ и директор, соответственно, имеют доступ ко всем компам вообще.
И еще а если сотрудник сам сисадмин? Да еще следящий за ситуацией с правоприменением в России? Да подписать такую расписку для него все равно, что сразу прийти и самому в тюрьму сесть. Это ж он будет за все ПО отвечать, которое кто угодно мог поставить, начиная от директора, заканчивая секретаршей Машей, скачавшей MP3.
Присоединяюсь к 2 предыдущим ораторам - грамотно управлять правами можно и в Windows,
Даже если нет возможности завести домен.
Берусь вставить флэшку, запустить какой-нить эксплойт из серии "повышатель привелегий", а затем
распатронить там все в хлам. При том, что я ни разу не программер, не хацкер и не сисадмин ;-)
А если админ просто в БИОСе отключит вам USB, CD, DVD, пошаманит с USBSTOR.SYS? Попробую угадать - пользователь запустит мегахак по сети.
На мой взгляд, толковый специалист решит подобные проблемы и на Linux, и на Windows.
Использование Windows обусловлено в том числе и тем, что далеко не все офисные задачи легко решить на другой платформе. Да, конечно, ворд-эксель-эксплорер в большинстве случаев можно заменить. Но есть же еще куча софта для банка, налоговой,таможни, есть тот же 1С.
Даже если нет возможности завести домен.
Берусь вставить флэшку, запустить какой-нить эксплойт из серии "повышатель привелегий", а затем
распатронить там все в хлам. При том, что я ни разу не программер, не хацкер и не сисадмин ;-)
А если админ просто в БИОСе отключит вам USB, CD, DVD, пошаманит с USBSTOR.SYS? Попробую угадать - пользователь запустит мегахак по сети.
На мой взгляд, толковый специалист решит подобные проблемы и на Linux, и на Windows.
Использование Windows обусловлено в том числе и тем, что далеко не все офисные задачи легко решить на другой платформе. Да, конечно, ворд-эксель-эксплорер в большинстве случаев можно заменить. Но есть же еще куча софта для банка, налоговой,таможни, есть тот же 1С.
Особенно если этот админ приходящий на подработки раз в месяц? :-))) Отключит USB? Ой, как интересно, тогда у народа будут траблы с переносом информации (многие активно пользуют флэшки), и офисные крысы возбудят начальника, который достанет админа, а админ включит "как было", лишь бы отвязались. Сто раз такое видел.
Вот вопрос можно ли под виндами сделать так, чтобы пользователь мог запустить только определенный перечень программ, а другие exe не мог? И чтобы мог писать только в определенный каталог, изменения в котором будут мониториться? Чтобы не мог, например, записать в c:\windows\temp\? И при этом чтобы все программы нормально работали?
Вот вопрос можно ли под виндами сделать так, чтобы пользователь мог запустить только определенный перечень программ, а другие exe не мог? И чтобы мог писать только в определенный каталог, изменения в котором будут мониториться? Чтобы не мог, например, записать в c:\windows\temp\? И при этом чтобы все программы нормально работали?
Да, можно. Групповыми политиками. Хоть локально, хоть в домене. Смотреть в gpedit.msc->конфигурация компьютера->конф.wind.->парам. безопасн.-> политики ограниченного использования программ.
Тут тебе и по хэшу, и по имени, и сертификатом подписывать можно, наздоровье :)
Доменный пользователь по дефолту на доменном компьютере находится в группе "пользователи" и пишет только в свой профиль в documents and settings. Еще вопросы? А, да, аудит для папок настраивается.
Тут тебе и по хэшу, и по имени, и сертификатом подписывать можно, наздоровье :)
Доменный пользователь по дефолту на доменном компьютере находится в группе "пользователи" и пишет только в свой профиль в documents and settings. Еще вопросы? А, да, аудит для папок настраивается.
То есть, если чувак попытается скопировать что-то в C:\Windows, то система ему этого не позволит?
Конечно нет, если у вас NTFS. У NTFS разграничения прав доступа гибче чем у традиционной системы прав доступа *nix. Для того чтобы в *nix иметь сравнимые по гибкости права доступа требуется поддержка POSIX ACL.
Если у вас есть под рукой windows, установленная на ntfs можете убедиться самостоятельно. Зайдите в свойства папки c:\windows на вкладку "безопасность" и выберите группу "пользователи", должно быть установлено три галочки чтение и выполнение, чтение списка, чтение. Если пойти чуть глубже (дополнительно-> действующие разрешения) можно узнать, какие именно права будут у конкретного пользователя.
Это-то известно, а вот почему-то некоторые программы отказывались у меня работать, если на c:\windows установлен запрет на запись :-(
Еще одна фигня разнообразные траблы у пользователей, если их аккаунт не администраторский, а с ограниченными возможностями. Например, понижалки скоростей CD не работали и писалки на CD это из того, что вспомнил прямо сейчас.
Еще одна фигня разнообразные траблы у пользователей, если их аккаунт не администраторский, а с ограниченными возможностями. Например, понижалки скоростей CD не работали и писалки на CD это из того, что вспомнил прямо сейчас.
такая хрень обычно наблюдается, если программы писались не под WinXP или авторы просто игнорировали все рекомендации, например куча программ (особенно образовательных) любят писать настройки не в HKCU ветку реестра а в HKLM или что еще хуже в ini файл в windows директории, а для этого админские права нужны
Это вопрос в основном к углу изгиба рук у тех программистов, что пишут на столько через. В нере есть Nero Burning Rights, позволяющая раздавать права на запись. На крайний случай есть runas /savecred
1. Как уже сказали выше от много спасёт грамотная настройка ОС. Даже если это Windows.
2. Приказ по предприятию с назначением ответственного за программное обеспечение на компьютерах.
3. Приказ на удаление всего нелицензионного софта.
4. Дополнение к трудовому договору где прописана ответственность и порядок уведомления работодателя об обнаруженном нелицензионном софте.
5. Автоматизированный контроль за компьютерами.
Бонусный вариант: терминальный доступ для всех кого можно.
2. Приказ по предприятию с назначением ответственного за программное обеспечение на компьютерах.
3. Приказ на удаление всего нелицензионного софта.
4. Дополнение к трудовому договору где прописана ответственность и порядок уведомления работодателя об обнаруженном нелицензионном софте.
5. Автоматизированный контроль за компьютерами.
Бонусный вариант: терминальный доступ для всех кого можно.
Кстати, обход защиты AD наверняка можно натянуть на неправомерный доступ, а это статья в УК.
Проблема, конечно, интересная и щекотливая. Но, «к счастью», её время ещё впереди. Имхо, сейчас стоит присмотрется к более реальному и простому способу «почесать „коллегам“ гриву».
Одна контора сейчас ставит у себя опенсорс продукты, а потом, наводит «службу спаесния» на всех конкурентов. И, опа! Когда всех будут шерстить за окна и ms-продукты, «наша» контора пиарится, как единственная честная в своей отросли.Такой вариант не пугает?
ну как это у нас сделано
(учебное заведение, смешанная сеть ~550 машин WinXP Pro + ~100 машин MacOS Tiger)
Все вертится на AD (Win 2003 Server)
При поступлении на работу\учебу пользователь получает на руки талмуд в котором описано что и как ему можно\нельзя в том числе есть и глава Network Usage Policy где регламентируется в частности что пользователям нельзя самостоятельно скачивать и устанавливать софт, если есть необходимость в использовании специфичного софта, пользователь пишет заявку в IT департамент и подписывает у своего начальника, мы же проверяем совместимость программ с софтом\железом и есть все ок софт покупается и устанавливается. Что касается противодействий самостоятельной установке:
1. Все профайлы roaming и все пользователи предупреждены, что мы не несем ответственности за информацию хранящуюся на локальных жестких дисках. В дополнение к этому Hive Cleanup удаляет все профайлы с компа в момент логаута.
2. Еженощно перед проходом бекапа, скрипт пробегает по домашним директориям и вычищает все mp3/avi/mpeg/exe итп
3. Права на установку софта на комп имеют только Domain Admin пользователи, повышение привелегий до локального админа ничего не даст.
4. Для публичных массовых пользователей пароли к которым "общеизвестны" запрещено все кроме запуска некоторых известных приложений, даже роуминговые профайлы и сохранение файлов выключены
5. В местах где может сидеть посторонний народ стоят терминалы, а поставить чего-то на терминальный сервер немного сложнее чем просто на комп
6. Ну и плюс к тому, так как система и основной софт ставятся одним имаджем с RIS сервера а остальной софт доставляется MSI пакетами через полиси, как только свежепоставленный комп появляется в контейнере AD, нам ничто не мешает возвращать машины к девственно чистому состоянию как только зачочется (особливо учитывая что время полной установки в таком случае около 15 минут) P.S. это по любому делается когда уходит сотрудник работавший на данном месте.
7. С лета планируем начать тест новых фич от майкрософта, когда при загрузке каждый раз заливается рабочий образ машины полностью, сеть в принципе позволяет
(учебное заведение, смешанная сеть ~550 машин WinXP Pro + ~100 машин MacOS Tiger)
Все вертится на AD (Win 2003 Server)
При поступлении на работу\учебу пользователь получает на руки талмуд в котором описано что и как ему можно\нельзя в том числе есть и глава Network Usage Policy где регламентируется в частности что пользователям нельзя самостоятельно скачивать и устанавливать софт, если есть необходимость в использовании специфичного софта, пользователь пишет заявку в IT департамент и подписывает у своего начальника, мы же проверяем совместимость программ с софтом\железом и есть все ок софт покупается и устанавливается. Что касается противодействий самостоятельной установке:
1. Все профайлы roaming и все пользователи предупреждены, что мы не несем ответственности за информацию хранящуюся на локальных жестких дисках. В дополнение к этому Hive Cleanup удаляет все профайлы с компа в момент логаута.
2. Еженощно перед проходом бекапа, скрипт пробегает по домашним директориям и вычищает все mp3/avi/mpeg/exe итп
3. Права на установку софта на комп имеют только Domain Admin пользователи, повышение привелегий до локального админа ничего не даст.
4. Для публичных массовых пользователей пароли к которым "общеизвестны" запрещено все кроме запуска некоторых известных приложений, даже роуминговые профайлы и сохранение файлов выключены
5. В местах где может сидеть посторонний народ стоят терминалы, а поставить чего-то на терминальный сервер немного сложнее чем просто на комп
6. Ну и плюс к тому, так как система и основной софт ставятся одним имаджем с RIS сервера а остальной софт доставляется MSI пакетами через полиси, как только свежепоставленный комп появляется в контейнере AD, нам ничто не мешает возвращать машины к девственно чистому состоянию как только зачочется (особливо учитывая что время полной установки в таком случае около 15 минут) P.S. это по любому делается когда уходит сотрудник работавший на данном месте.
7. С лета планируем начать тест новых фич от майкрософта, когда при загрузке каждый раз заливается рабочий образ машины полностью, сеть в принципе позволяет
>С лета планируем начать тест новых фич от майкрософта, когда при загрузке каждый раз заливается рабочий образ машины полностью, сеть в принципе позволяет
Это что за новая фича??
Это что за новая фича??
на замену RIS теперь пришел Windows Deployment Services и там кроме Install Image появились теперь и Boot Image, в принципе, эквивалент маковского NetBoot когда машина загружает образ из сети, но на диск он на постоянку не пишется, а просто используется для работы системы, в тонкости сейчас вдаваться не буду, можешь почитать на майкрософте
Вообще это и RIS умел делать достаточно давно уже, я поэтому удивился.
http://support.microsoft.com/default.aspx/kb/304992
http://support.microsoft.com/default.aspx/kb/304992
теперь это наконец реально работает, проверяли. Правда минус в том, что заточено под висту, но так как на нее так или иначе переходить, в общем это и не минус даже....
а в общем получается так, boot образ vista busines x32 занимает 640 мегов, на комп грузится за порядка 4-5 минут, плюс 2-3 минуты занимает раздача через MSI приложений
хотя вот еще одна фича, в сторону которой смотрим, тоже весьма интересный путь
http://www.microsoft.com/systemcenter/softgrid/default.mspx
а в общем получается так, boot образ vista busines x32 занимает 640 мегов, на комп грузится за порядка 4-5 минут, плюс 2-3 минуты занимает раздача через MSI приложений
хотя вот еще одна фича, в сторону которой смотрим, тоже весьма интересный путь
http://www.microsoft.com/systemcenter/softgrid/default.mspx
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как посадить работодателя и (вопрос ко всем) как не дать себя посадить?