Вопрос, собственно, следующий - каким софтом ныне пользуются чуткие руководители, дабы любопытствовать, чем их нерадивые подчиненные занимаются на служебных средствах ЭВТ и как этим лентяям уберечься от напасти либо хотя бы фиксировать, что они " под колпаком у Мюллера" (с) ?

если комп и сеть ,RADMIN -Remote Admin

Современные антивирусы и AntiSpyware-программы с удовольствием обнаруживают работу и исполняемые файлы программ-шпионов, включая различные remote-программки.

Но % обнаружения не такой высокий как у вирусов, поэтому нужно иметь несколько таких программ (один антивирус + несколько AntiSpyware) одновременно. Но даже такой вариант все равно не даст бизкого к 100% результата, что за вами не подглядывают.

Современные антивирусы и AntiSpyware-программы с удовольствием обнаруживают работу и исполняемые файлы программ-шпионов
Remote Admin не вычисляется антивирусами и антиспай софтом.

RadioKoteg

Да ну?

http://www.kaspersky.ru/support/ak_mp3/maintenance?qid=180593944
http://forum.drweb.com/viewtopic.php?t=1693
http://www.famatech.com/support/forum/read.php?FID=19&TID=9752

А вообще давайте читать сообщение полностью - что за манера цитировать часть, и делать вид, что ниже него ничего не написано?

Специально для вас еще раз:

Но % обнаружения не такой высокий как у вирусов, поэтому нужно иметь несколько таких программ (один антивирус + несколько AntiSpyware) одновременно. Но даже такой вариант все равно не даст бизкого к 100% результата, что за вами не подглядывают.

RadioKoteg
Remote Admin не вычисляется антивирусами и антиспай софтом.
Вычисляется касперычем без проблем. Сам на работе исключения вписывал на администрейшен ките, чтобы он на рабочих станциях не орал на радмина.

дабы любопытствовать, чем их нерадивые подчиненные занимаются на служебных средствах ЭВТ и как этим лентяям уберечься от напасти либо хотя бы фиксировать, что они " под колпаком у Мюллера" (с) ?

Дружить с админом, иначе ваши шансы близки к "Зеро"
не сам же босс установил софт........
Мало того за самовольно установленный софт вы легко можете получить последствия
куда более далеко идущие. ;-)

"глупо говорить о корпоративной этике человеку, читающему логи прокси-сервера" (с) в тырнете тоже шаритесь? :)

договорились ,буду читать сообщения полностью и ничего глупого не писать.

RadioKoteg
Не "не вычисляется", а "не считается тем, что надо вычислять". :)
Средства удаленного администрирования встроены в Windows, так что даже ставить ничего не нужно (а запретить их можно только если у пользователя достаточно прав на это).

На самом же деле, средства удаленного администрирования используют для слежки только откровенные бездельники из числа начальства и администраторов, т.к. они позволяют просто удаленно заглянуть через плечо сотруднику, так сказать. Т.е. более чем развлечением в духе незаметно сунуть нос в то, что творится на мониторе, ничего такие средства не дают.

Клавиатурных шпионов и мониторов активности смысла перечислять нет - их туча написана. Бороться с ними - задача творческая. Популярная контр-мера - использовать PsSuspend - утилиту командной строки, которая назначает/снимает процессу приоритет ниже idle. Т.е. в памяти процесс есть (централизованные шпионы могут удаленно проверять наличие среди процессов шпионского клиента), но работать он не работает. Если шпион работает не как процесс, а как сервис, то PsService с опцией pause. И та и другая команда может быть исполнена удаленно.

А мониторить/контролировать сетевую активность гораздо легче централизовано на шлюзе конторы, не заморачиваясь с установкой софта каждому сотруднику. С этим бороться крайне проблематично, если все сделано грамотно.

Мое нескромное мнение - если в конторе слишком много внимания уделяют слежению за тем, чтобы сотрудники не пинали балду, то грош цена этой конторе. За плохим сотрудником надо не следить, а гнать его и искать хорошего (и привлекать его соответственно). А за хорошим сотрудником следить - выражать ему заранее недоверие. А к чему работать в конторе, которой нужно не чтобы ты давал нужный результат, а чтобы высиживал положеное время? Но это уже каждый сам для себя решает.

Коллеги, предлагаю морально-этические стороны проблемы опустим, рассмотрим техническую сторону вопроса:)

в некоторых фирмах приходилось ставить вид камеры направленные на рабочие места .

RadioKoteg
в некоторых фирмах приходилось ставить вид камеры направленные на рабочие места .
А вот это уже ахтунг:)

NDR
Тут без моральной стороны - никак, потому что проблема не чисто техническая. Скажем так: желания начальства/администраторов (и вопрос, чья это инициатива) в большей мере и определяют область слежки и выбор средств. А по технической стороне я уже написал.
Универсальных решений нет, а каждое конкретное требует хотя бы общего понимания идеологической составляющей.

NDR ставь файрвол,если у тебя есть права,тогда сможешь уберечь свой комп.А сетевой трафик всё равно просматривать смогут.

А сетевой трафик всё равно просматривать смогут.
Например Iris® Network Traffic Analyzer справляется с этим .

сочуствующий
Угу, и в логах шпионящего сервера ПК, на котором сетевая активность шпионящего агента зарублена, будет значиться как "нет данных". До первого визита администратора. Второй визит будет уже с представителем руководства, который ненавязчиво погрозит пальчиком.

Полная блокировка активности шпиона - это возможно, но это далеко не всегда является решением проблемы. А часто даже наоборот.

RadioKoteg
Если в сети Ирис видит активность всех ПК с произвольной машины, то сеть на концентраторах, а не на коммутаторах, а такую еще поискать надо.
Исключение составляет ситуация установки Ириса на ПК, являющийся шлюзом. А больных, у которых шлюз под Windows, не так много.

Я только одно средство использую - перед тем как в сеть выйти и что-то поискать или вот перед тем как оставить тут сообщение, тупо влезаю в Task manager и убиваю кейлоггера и прочую хрень, делающую обновления и перезагрузки компа без моего ведома (так несколько раз мне наши админы гробили рабочие документы и проекты плат).
Но сейчас апдейтеры вроде как защитили и они неудаляемы, а вот кейлоггеры можно удалить, но через полчаса загружается откуда-то скрипт, который запускает кейлогер. Это у админов на сервере, насколько я понял программа-робот стоит, которая периодически заходит на компы сотрудников, смотрит запущенные процессы и если что убито, а "надо" - запускает снова.

На самом деле подглядки за печатанием на клавиатуре не так уж бесят. Больше бесят все эти системы учета времени, кодовые замки на каждой двери (причем вовсе не важно что за дверью - помойка стоит или бухгалтерия), видеокамеры в каждом углу, датчики перемещения, датчики табачного дыма (вот это правильно, нехрен курить), ну и сами отставные ФСБ/МВДшные кадры из службы порядка которые блуждают по коридорам и отделам и которых год от года становится всё больше и больше. Хотя вот что интересно - охранников всё больше, но и пропаж и потерь комплектующих например - тоже много, несмотря на учет перемещений и прочую лабуду. Когда никаких надзирателей и учета не было - не было и потерь, а что пропадало, то потом и сами находили.

А, вот ещё что. Антивирусные программы я сам на комп поставить не могу (перепробовал уже штук 5 разных). При запуске возникает ошибка. Антивирус же ставят и обновляют сами админы удаленно, и настройки антивируса изменить нельзя - не имею доступа я к ним.

RadioElk сеть надо строить так чтобы в выход инет стоял ХАБ . :)

CO2040
А вот тут с keylogger'ами может помочь справиться упомянутый мной PsSuspend. Он как раз и создает нужную ситуацию, когда процесс есть, но не работает, а висит. Подавляющее большинство систем такого рода проверяют только наличие нужного в списке процессов, а не наличие/отсутствие активности. Установки он не требует, запускается из командной строки. Можно создать два bat-файлика, один будет "вешать" keylogger, а другой - "размораживать", когда скрывать нечего.

Для подробного изучения того, что запускается на ПК из всех возможных мест автозапуска, есть Autoruns.
Для столь же подробного понимания, что запущено в данный момент (с множеством подробностей) есть ProcessExplorer.
Все бесплатное и не требует установки.

морозить процессы можно http://www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspx ну и заодно активно снимать их :)

RadioKoteg
Хе-хе, недаром у нас выход на сайт microsoft.com админы заблокировали напрочь.

...

Спасибо большое за отзывчивость. Попробую процЭссЭксплорер потискать бережно.

У меня вопрос к знающим: например, у меня установлен RAdmin в одну копию винды. Будут ли видны действия пользователя, если я с помощью VMWare (или аналогичного софта) буду запускать вторую к ОС и работать в ней?
И ещё: если я буду использовать socks c шифрованием, можно ли в логах прокси увидеть адреса посещённых ресурсов?

Немного OFFa... :)

Не спит провайдер, я не сплю..
Покорно аська ждет онлайна..
Обрыв на линии, терплю...
Ага..коннект...неуж случайно?

Експлорер глючит и висит,
Откуда эти порносайты?
Касперский в трее вон торчит...
Коней троянских запрягайте...

С опаской почту проверяю...
Но снова кучей валит спам,
Одно из писем открываю...
Там файл exe, спасибо вам

Эксплорер все же запустился..
И только баннеры вокруг...
Я кликнуть в баннер умудрился
На нем написано - досуг

Закройтесь окна, вас так много,
Не успеваю нажимать!!!
Куда не жми - одна дорога...
Опять порнуха... твою мать...

На Воффку ком пойти мне может,
Там хоть смешное, говорят...
Хотя и там порнушка тоже...
Эх, что вэбмастеры творят

Лет пять назад я помню даже,
Такого не было ни в жись...
Теперь в инете столько лажи,
Что просто мать моя держись...

По ссылке кликаю на новость,
С опаской жду, куда попал...
Как будто падаю блин в пропасть...
Опять порнушка... так и знал...

Эх, всеж поставлю файрволик,
Обрежу нафиг все порты,
И ни один плэйбойский кролик
Не пробежит здесь, всем кранты

Поп-апы сгинут в неизвестность,
Найду троянов, накажу...
Ведь нарушают всю серетность,
Я же в инвизибле сижу...

Так что, все те кто в сеть выходит,
Не попадитесь как я сам,
Там вот таких как мы разводят,
И лезут вирусы и спам...