Тогда ок

Всем привет! Люди добрые расскажите безграмотному, начальство требует прям наибезопаснейшей безопасности, требуя на работе, чтобы все компы были в домене и везде стоял корпоративный антивирус, это и требуется для людей которые пользуются спец софтом (программаторы/прошиваторы), которым мешает работать антивирус. При этом есть настолько спец софт, что не помогает даже исключения в антивирусе, поэтому приходится его отключать на время работы сотфа... Так же есть юзеры, которым разрешено подключаться из дома, ес-сно их компы не в домене и антивир какой-нить аваст или ломаный нод32... И вот тут я теряюсь... ВПН раздаем через опенвпн, но если домашний комп заражен, то есть ли риск словить с него вирус, допустим через буфер обмена по рдп?

Да

Всем привет! Люди добрые расскажите безграмотному, начальство требует прям наибезопаснейшей безопасности, требуя на работе, чтобы все компы были в домене и везде стоял корпоративный антивирус, это и требуется для людей которые пользуются спец софтом (программаторы/прошиваторы), которым мешает работать антивирус. При этом есть настолько спец софт, что не помогает даже исключения в антивирусе, поэтому приходится его отключать на время работы сотфа... Так же есть юзеры, которым разрешено подключаться из дома, ес-сно их компы не в домене и антивир какой-нить аваст или ломаный нод32... И вот тут я теряюсь... ВПН раздаем через опенвпн, но если домашний комп заражен, то есть ли риск словить с него вирус, допустим через буфер обмена по рдп?

Причем тут впн и рдп

Рдп и диски шарить может

По впн влетит

100%

Причем тут впн и рдп

впн это я типа хоть какие-то меры секурности предпринял)

В целом не секурно это :)

а почто?

А корп антивирус и ломанный нод32 это одно и тоже?

или вы про одомашнивание юзеров?

А корп антивирус и ломанный нод32 это одно и тоже?

не

суть не в том, просто мы не можем позволить себе ставить домой корп антивирус из соображений затратности на юзеров

или вы про одомашнивание юзеров?

Да

а главное ябут ублюдки, как бы им донести что перебарщивают и хотят не тратиться

пидарасы

уж простите, наболевает от начальства задница)

Начальство оно такое везде)

уж простите, наболевает от начальства задница)

Многозначно сказали)))

а главное гей-парад у нас в городе запретили, а сами пидарасы

т.е. вокруг пидарасы, а не сами0

т.е. смысла запрещать как бы и не было))

Многозначно сказали)))

в продолжение про "ябут"

Палиться не хотят. Если юзвери ваши неадекваты, разрешая им рдп и впн вы можете забыть про безопасность в корне

я о том же

хотел посоветоваться кто как этот маразм лечит

если лечится

Кошелиться нужно

Файрволами и антивирусами

Лечится

А вот еще не сможете такой момент подсказать, между точками у нас l2tp-впн, не шифрованный, но фильтруется по ip... Шифруется ли трафик внутри актив дирЕктори?

Или это нужно дополнительно домен ковырять?

ковырять желательно нос, но не каждый а свой. какой именно трафик вы подразумеваете под "внутри ad"?

который именно обеспечивает работу ad и весь связанный с ним трафик... или я чушь несу... ?

ну вы определитесь где вы что защищать хотите, извне или внутри или что

можно и внутри захуячить от каждой станции ipsec, только зачем

но вдруг у вас такой начальник и такие требования и он так видит

извне конечно

именно по нешифрованным каналам который гуляет

через инет

между точками л2впн - имеете ввиду сайт-ту-сайт между филиалами у вас щас?

ага

ну переделайте под gre over ipsec и спите спокойно

я просто ipsec так и не смог осилить

еще в долгом разбирательстве с ним буду

ну, надо поднажать, пока оставте как есть

а gre у нас не везде пролетает.... всё из-за ростелекомовских эльтексов

поэтому l2tp у нас

да, слышал про подобные диагональные ограждения

я только хотел уточнить, шифруется ли трафик внутри AD домена...

может и нет смысла ipsec делать..

насколько я понимаю в этом вопросе - частично

надо понимать что специфика данного трафика - преимущественно внутреннее использование

но если вы неуловимый джо - я б забил болт на это дело, чесн

но если вы неуловимый джо - я б забил болт на это дело, чесн

эммм.... я не уловил сути )

про неуловимость джо)

про неуловимость джо)

перефразирую "да кому ты нужен, зачем тебе шифрование"

аа))

перефразирую "да кому ты нужен, зачем тебе шифрование"

Это, кстати, так себе практика. Никогда не знаешь с какйо стороны прилетит

А то знаете как это бывает. Когда то был dc1. Потом чот случилось и dc1 уже не pdc. А ты уже пару лет ходишь политики править на другой PDC dc33. И сука вроде нихуя такого, но как то НЕИДЕАЛЬНЕНЬКО

А зачем куда-то ходить?

А зачем куда-то ходить?

А как не ходить никуда?

А как не ходить никуда?

не каждый может ходить никуда

А как не ходить никуда?

RSAT

PS

ERROR: S client not available

RSAT

ну ты RSATом всё равно же куда то идёшь

ну ты RSATом всё равно же куда то идёшь

gpedit сам к пдц эмулятору цепляется

таргет - имя домена... вуаля

если у тебя пдц в момент запуска не алё - оно скажет доменные службы не доступны

хоть у тебя там 33 дц, но пдц нету

ответ конечно принимается, но про ГП я условно сказал, есть еще дохуа операционных задач, и вопрос тут был скорее из области перфекционизма

Бывает и так что DC1 через год это шарепойнт

Бывает и так что DC1 через год это шарепойнт

у перфекционистов такого не бывает))

и при этом ваще ниразу не dc и не pdc и ваще страдания

у перфекционистов такого не бывает))

ну я надеялся что ты мысль мою поймешь, когда начинаешь нейминг вязать на роль, локацию, адрес etc

ну я надеялся что ты мысль мою поймешь, когда начинаешь нейминг вязать на роль, локацию, адрес etc

ну я так и делаю

и дц у меня дц

а какие причины не использования CNAME?

ну я так и делаю

а я вот чота завязал

а какие причины не использования CNAME?

Да никаких собсна

как раз после миграции сервиса на другую машину, так и делается обычно

если у тебя пдц в момент запуска не алё - оно скажет доменные службы не доступны

Вот сейчас специально потушил пдц эмулятор, а к домену через RSAT подключиться смог.

через гпедит?

эцсамое. не подскажите группу с 1с программистами?

Бывает и так что DC1 через год это шарепойнт

Не. Если это шарепоинт, то пускай машина называется sharepoint. Нет ни единой причины не переименовывать

эцсамое. не подскажите группу с 1с программистами?

@ru_1c

@ru_1c

спс

Не. Если это шарепоинт, то пускай машина называется sharepoint. Нет ни единой причины не переименовывать

у меня все сервера просто srv и номер)

у меня все сервера просто srv и номер)

Удобно, когда их меньше дюжины.

Удобно, когда их меньше дюжины.

и стоят в одном месте

....и выключены...

и одмин один, который знает где что наизусть

и одмин один, который знает где что наизусть

а если он психанёт и уволится, то всё

ну как всё

жить можно, но геморрой

вы прям телепаты все