Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: i 19. 04. 2017, 07:36:54
-
Téměř celý profesní život používám linux a cítím se v něm jako ryba ve vode, doma používám výhradně linux a pociťuji dostatečnou míru sucha a bezpečí, že mám pod kontrolou co se mi v mém zařízení děje. V zaměstnání si zaměstnavatel hraje na "bezpečnstní" politiku, která se opírá o to, že máme na všech pracovních stanicích windows.
Fungujeme na kompromisu tom, že na widlích mám nainstalovaný jediný program a to virtualbox a v něm hned několik linuxů, na jednom pracuji na druhým si v pracovní době testuji příští verzi, pracovní počítač vypínám jen na víkend, mezi pracovními dny ho nechávám v práci běžet, na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem, nebo bylo do dnešního rána.
Když odcházím zamykám widle, jsou to sedmičky.
Dnes ráno když jsem je odemk tak mi slavnostně oznamovali že byl úspěšně nainstalován device driver blafS6,
1. nikde jsem nevygooglil co to ten blafS6 je.
2. nevím proč, kdo a jak to nainstaloval.
Tušíte někdo co se na tom počítači vlastně stalo ?
Dík
-
Má ten stroj zapnuté automatické aktualizace?
Má veřejnou IP adresu?
-
V zaměstnání si zaměstnavatel hraje na "bezpečnstní" politiku, která se opírá o to, že máme na všech pracovních stanicích windows.
....
Dnes ráno když jsem je odemk tak mi slavnostně oznamovali že byl úspěšně nainstalován device driver blafS6,
Okamžitě kontaktuj "IT helpdesk" co tam máte a zeptej se jich, zda o tom ví a co to je.
- buď to tam dali oni a pak ti řeknou co to je a k čemu
- nebo ne a v tom případě budou okamžitě řešit bezpečnostní incident (a určitě mají větší přehled než linuxáci na fóru... tedy alespoň měli by)
-
Má ten stroj zapnuté automatické aktualizace?
Má veřejnou IP adresu?
Nemá veřejnou IP,
a zda má zapnuté automatické aktualizace, pokud myslíš ty widle tak netuším, jak to zjistím ?
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Koukám, to je bezpečnostní politika jak noha.
Nejsem žádný expert na Windows, ale tohle se pokud vím dá v doméně zakázat.
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Koukám, to je bezpečnostní politika jak noha.
Nejsem žádný expert na Windows, ale tohle se pokud vím dá v doméně zakázat.
Ani by me neprekvapilo, ze kdyby tam mel linux, tak ten driver (nejaky univerzal) tam uz bude k dispozici od zacatku :D
-
Mne sa zas vo firme objavil cely eset :D nikdy som ho nechcel, ale pc musi byt v domene a asi to pretlacaju tade ...
-
O esetu snad ani nemluv nebo zase dostanu ty sebevrazedny sklony jako vzdy kdyz tu ikonu vidim.
-
doma používám výhradně linux a pociťuji dostatečnou míru sucha a bezpečí, že mám pod kontrolou co se mi v mém zařízení děje. V zaměstnání si zaměstnavatel hraje na "bezpečnstní" politiku, která se opírá o to, že máme na všech pracovních stanicích windows.
Tak spete dal s pocitem sucheho rozkroku, na VASEM pocitaci se nic nedeje. A co se pres noc instaluje na pocitac vaseho ZAMESTNAVATELE vas nemusi trapit. Diky mire virtualizace jste od "zkazeneho OS" odstinen a pokud sve image zalohujete na sit, nemusi Vas teoreticky trapit ani pripadna nakaza ci totalni selhani OS ci HW zamestnavatele. Proste si reknete o novy stroj, nainstalujete virtualizacni SW, restornete image a jedete dal.
Co s tim mate presne za problem??
-
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Klidně mohlo jít o nějaký univerzální ovladač, který mají WIndows již v základu (v úložišti na daném stroji), tudíž nedošlo ani k prohledávání Windows Update (ve výchozím nastavení to systém ani nedělá).
V tom instalačním dialogu se obvykle nezobrazují přímo názvy ovladačů, ale řetězce reportované přímo daným zařízením, což ale neznamená, že se Windows připojily bůhvíkam a stáhly bůhvíco.
-
takymto stylom sa da prebrat kontrola nad pc. niekto vymyslel, ze pri vlozeni usb do zamknuteho windowsu sa nainstaluje driver a aj zaskodnicky softver. myslim, ze podobne na tom bol OSx. Na linuxe to skusali.
prikladam link:
http://thehackernews.com/2016/09/hack-windows-password.html (http://thehackernews.com/2016/09/hack-windows-password.html)
-
A co se pres noc instaluje na pocitac vaseho ZAMESTNAVATELE vas nemusi trapit.
Pokud by například zjistil, že ten počítač přes noc někdo vyhackoval a nainstaloval tam backdoor, tak mi přijde velmi důležité o tom zaměstnavatele informovat. Tobě ne?
-
"beeee, nemam rad windows. nerozumiem ako funguje a nasa firemne IT tiez nie. cele je to naprd. beee"
tak daj vypoved...
-
Téměř celý profesní život používám linux a cítím se v něm jako ryba ve vode, doma používám výhradně linux a pociťuji dostatečnou míru sucha a bezpečí, že mám pod kontrolou co se mi v mém zařízení děje. V zaměstnání si zaměstnavatel hraje na "bezpečnstní" politiku, která se opírá o to, že máme na všech pracovních stanicích windows.
Fungujeme na kompromisu tom, že na widlích mám nainstalovaný jediný program a to virtualbox a v něm hned několik linuxů, na jednom pracuji na druhým si v pracovní době testuji příští verzi, pracovní počítač vypínám jen na víkend, mezi pracovními dny ho nechávám v práci běžet, na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem, nebo bylo do dnešního rána.
Když odcházím zamykám widle, jsou to sedmičky.
Dnes ráno když jsem je odemk tak mi slavnostně oznamovali že byl úspěšně nainstalován device driver blafS6,
1. nikde jsem nevygooglil co to ten blafS6 je.
2. nevím proč, kdo a jak to nainstaloval.
Tušíte někdo co se na tom počítači vlastně stalo ?
Dík
"...na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem..."
Koukám že bezpečnost (dat) je ve vaší firmě opravdu hlavní prioritou.
-
Má ten stroj zapnuté automatické aktualizace?
Má veřejnou IP adresu?
Nemá veřejnou IP,
a zda má zapnuté automatické aktualizace, pokud myslíš ty widle tak netuším, jak to zjistím ?
Kontaktuj helpdesk. Systém se dá aktualizovat i jinak než automatickými aktualizacemi ve Widlích. A ve velkých firmách se to tak často i dělá.
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Mimo jiné i z tohoto důvodu se nemá nechávat PC při odchodu z práce zapnuté. Další z bezpečnostních zásad.
-
A co se pres noc instaluje na pocitac vaseho ZAMESTNAVATELE vas nemusi trapit.
Pokud by například zjistil, že ten počítač přes noc někdo vyhackoval a nainstaloval tam backdoor, tak mi přijde velmi důležité o tom zaměstnavatele informovat. Tobě ne?
To zalezi zda mam v popisu prace IT bezpecnost, pokud ne a pokud bych pracoval VYHRADNE jen na tom virtualu (jak bylo popsano v prvnim prispevku), tak by me to asi nezajimalo. Ve verejnem sfere zivota je prilis mnoho dulezitych SPOLECNYCH veci o kterych lide tvrdi ze na ne nemaji cas a proto se o ne nezajimaji, ze mi prijde smysluplnejsi resit tohle nez se plest do prace firemnimu bezpecakovi.
-
Já nevím, třeba s keyloggerem mu asi virtuál moc nepomůže. Jako řešit to tady na Rootu je opravdu zcestná idea.
-
ucvaknout dráty od usbčka a napojit to drátama do prodlužovačky. 220V to by ho to odnaučilo strkat ho do cizejch děr 8)
-
"...na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem..."
Koukám že bezpečnost (dat) je ve vaší firmě opravdu hlavní prioritou.
V pracovním adresáři mám jen zdrojáky, své zdrojáky a své poznámky, data tam mám jen malá a smyšlená pro první testování. tak že k ohrožení citlivých dat nedochází.
-
Já nevím, třeba s keyloggerem mu asi virtuál moc nepomůže. Jako řešit to tady na Rootu je opravdu zcestná idea.
Šlo mi jen o to, dozvědět se jak si mám vysvětlit dané chování windows, což pochopím spíš zde na rootu než jinde kde se zabývají widlemi, neboť se mi zdá že používají jinou terminologii. už jste si někdy nechali vysvětlit něco od někoho kdo měl pocit že rozumí jen windowsům ?
-
"...na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem..."
Koukám že bezpečnost (dat) je ve vaší firmě opravdu hlavní prioritou.
V pracovním adresáři mám jen zdrojáky, své zdrojáky a své poznámky, data tam mám jen malá a smyšlená pro první testování. tak že k ohrožení citlivých dat nedochází.
A nejsou "zdrojáky, své zdrojáky a své poznámky" majetkem zaměstnavatele a součástí jeho know-how? A co by se stalo pokud by unikly mimo firmu?
-
"...na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem..."
Koukám že bezpečnost (dat) je ve vaší firmě opravdu hlavní prioritou.
..... A co by se stalo pokud by unikly mimo firmu?
nic
-
Miloš, to si ty??
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Tak zrovna toto bych Woknum/MS nevytykal. Z hlediska BFU je takové chování přívětivější než kdyby si každý BFU musel instalovat kdejaký ovladač na kdejakou HW blbost sám.
Ale mohly by ty Wokenice aspoň hodit hlášku, že se nainstalovalo to a to z důvodu připojení nového zařízení.
-
Ale mohly by ty Wokenice aspoň hodit hlášku, že se nainstalovalo to a to z důvodu připojení nového zařízení.
Zrovna při připojování PnP zařízení je to asi jedno, protože se ovladače aktivují (ať už jde o instalaci, nebo již jen vlastně o spuštění) pouze v případě, že jsou potřeba (tzn. objeví se zařízení s příslušným hardware/compatible ID v nabídce). Když dané zařízení zmizí, ovladač se opět deaktivuje. Jiný zůsob aktivace ovladače PnP zařízení ani není oficiálně podporován (ačkoliv jej obvykle můžete aktivovat manuálně).
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Tak zrovna toto bych Woknum/MS nevytykal. Z hlediska BFU je takové chování přívětivější než kdyby si každý BFU musel instalovat kdejaký ovladač na kdejakou HW blbost sám.
Ale mohly by ty Wokenice aspoň hodit hlášku, že se nainstalovalo to a to z důvodu připojení nového zařízení.
Mohla se, ta okna alespoň zeptat, "nalezeno nové zařízení a vím co k němu nainstalovat, mám instalovat ?"
BFU (Bězný Facebookový Uživatel) stiskne jen "Ano" na modálním okně, což obvykle stejně dělá i bez čtení.
ale to že začne rovnou instalovat pod zamčeným GUI a pak mě jen vyděsí hláškou o úspěšné instalaci "blafS6", mi připadá jako arogance stroje vůči člověku :-) který tím opět naboural náš vztah :-)
-
Tak už se to vyřešilo,
Když jsem včera odešel, kolegovy docházela baterka v mobilu tak si ho chtěl nabít z méno počítače a widle začaly sami instalovat driver pro kolegův mobil aniž by jim to někdo povolil :-)
Stále si nemohu zvyknout na to že ten SW od mrkvosoftu ví lépe než já co já potřebuji :-)
Tak zrovna toto bych Woknum/MS nevytykal. Z hlediska BFU je takové chování přívětivější než kdyby si každý BFU musel instalovat kdejaký ovladač na kdejakou HW blbost sám.
Ale mohly by ty Wokenice aspoň hodit hlášku, že se nainstalovalo to a to z důvodu připojení nového zařízení.
Mohla se, ta okna alespoň zeptat, "nalezeno nové zařízení a vím co k němu nainstalovat, mám instalovat ?"
BFU (Bězný Facebookový Uživatel) stiskne jen "Ano" na modálním okně, což obvykle stejně dělá i bez čtení.
ale to že začne rovnou instalovat pod zamčeným GUI a pak mě jen vyděsí hláškou o úspěšné instalaci "blafS6", mi připadá jako arogance stroje vůči člověku :-) který tím opět naboural náš vztah :-)
Dejte si nejake prasky na hlavu. A ted si zkuste...
Zamknete si desktop linuxu. Pripojte libovolne usb zarizeni. Prihlaste se pres ssh na ten stroj. Pristupte na to zarizeni. Hm? Jeee, vono zamceny gui nic pro system neznamena, ten funguje stale normalne z hlediska ostatnich akci. Asi jste nepochopil, k cemu slouzi zamykani gui. Jo a propos, ten linux vam ani neoznami, ze neco zprovoznil. Nebo se vam snad posilaji logy ze syslogu na screen?
-
Dejte si nejake prasky na hlavu. A ted si zkuste...
Zamknete si desktop linuxu. Pripojte libovolne usb zarizeni. Prihlaste se pres ssh na ten stroj. Pristupte na to zarizeni. Hm? Jeee, vono zamceny gui nic pro system neznamena, ten funguje stale normalne z hlediska ostatnich akci. Asi jste nepochopil, k cemu slouzi zamykani gui. Jo a propos, ten linux vam ani neoznami, ze neco zprovoznil. Nebo se vam snad posilaji logy ze syslogu na screen?
Bavím se o případu kdy okna sama něco nainstalovala. Pokud něco strčím linuxu do USB, tak buď mám modul v jádře, pak bych asi tomuto modulu měl důvěřovat, nebo ho nemám a systém jen zaloguje neznámé zařízení. Nezačne potají něco instalovat a nedozvím se o tom až po "úspěšné" instalaci. A pokud v některých distribucích je nějaký automatický zastrkávač modulů do jádra, tak si ho mohu jednoduše a legálně vyřadit.
Když jsem pasl o zamčeném GUI, tak jsem přitom psal o tom, že by se mi líbíl od systému dotaz v modálním okně zda instalovat, na který by při zamčeném GUI asi nešlo odpovědět a tak by nedošlo k nechtěné instalaci čehosi, při pouhém nabíjení telefonu.
Tak že kdo z nás dvou je na ty prášky ?
Nehledě na to, že můj původní dotaz byl míněn tak, zda někdo nevíte co to ten "blafS6", teprve pak se to rozvinulo v diskusi na téma jak by to mělo být jinak.
-
Takze je lepsi kdyz je ten modul v jadre nez kdyz si Wokna sahnou do sve depository ovladacu a natahnou ho?
Popravde me spis prekvapuje to okno, vetsinou, pokud vim, pro standardni veci v USB Wokna nainstaluji ovladac a s okynkem se neobtezuji pokud se instalace povedla....
-
Takze je lepsi kdyz je ten modul v jadre nez kdyz si Wokna sahnou do sve depository ovladacu a natahnou ho?
No je, protoze bez site si nove zarizeni nepripojite. To nasere zejmena tehdy, kdyz zarizenim, ktere se snazite rozchodit, je sitova karta.
-
Nezačne potají něco instalovat a nedozvím se o tom až po "úspěšné" instalaci.
Ta filozofie je v případě Windows zřejmě jiná. Ovladač Plug&Play se nachází v jádře (je aktivní), právě když existuje zaířzení, které on obsluhuje. Jinak jej PnP Manager uvolní z paměti jádra a ovladač čeká na svou další příležitost. Rozdíl v případě, že zařízení připojujete poprvé, spočívá v tom, že se obvykle ovladač loví z lokálního úložiště a "instaluje se" (hlavně zápis do registru, případně kopírování souborů z úložiště do systémových složek). Že je ovladač nainstalovaný, neznamená, že je přítomen v jádře.
S ptaním on-demand je to poněkud složitější, protože jedna flashka není ve skutečnosti jedno zařízení, ale až 4. U mobilů a čteček různých druhů karet, tiskáren, Bluetooth adaptérů je těch zařízení často ještě více. Takže by si pak uživatelé asi začali stěžovat, že tam pořád vyskakujou nějaká okna.
Také záleží, co u takového dotazu chcete o zařízení zobrazit – pokud chcete, aby zařízení před zodpovězením dotazu nemohlo nijak komunikovat, ale zároveň byste rád o něm zobrazil nějaké užitečné informace, dostáváte se k velmi ošklivým deadlockům. Ale samozřejmě je možné takový software vytvořit a v principu se nejedná o nic moc složitého.
-
M. Dráb - jste odborníkem na Windows, jde v tom systému nějak nastavit, aby se nejprve zeptal, jestli opravdu chci zavést/instalovat ovladač bůhví čeho i třeba za cenu, že budu odklikávat více oken? Mě by to nevadilo.
-
M. Dráb - jste odborníkem na Windows, jde v tom systému nějak nastavit, aby se nejprve zeptal, jestli opravdu chci zavést/instalovat ovladač bůhví čeho i třeba za cenu, že budu odklikávat více oken? Mě by to nevadilo.
Bohužel se pohybuji zejména na nízkých úrovních (v jádře), takže mnohé možnosti nastavení systému jdou dost mimo mě.
Nevím, jak zařídit to, aby se vás systém ptal při instalaci každého zařízení (uměl bych to naprogramovat – a v základní verzi by možná bylo nejtěžší částí zobrazit dotaz na správný desktop tak, aby jej uživatel viděl :-)... pokud neočítáme fakt, že aktuálně nedisponuji (EV) certifikátem pro tyto účely), ale pomocí Group Policy, jak se zdá, můžete nastavit, která zařízení mohou být ke stroji připojena. Specifikují se pomocí hardware nebo compatible IDs (najdete v Device Manageru).
V zásadě se jedná o metodu č. 2 v tomto článku
https://support.microsoft.com/en-us/help/2500967/how-to-stop-windows-7-automatically-installing-drivers
Minimálně vás dovede do správného ddělení Group Policy. Článek je pro Windos 7, ale stejná nastavení mám i na svých Windows 8.1.
Není to samozřejmě ideální, ale můžete tím zakázat/povolit nejen konkrétní zařízení, ale i celé třídy (např. v compatible ID najdete i řetězce typu USB\Class_XX, případně se SubClass_yy a Prot_zz). Pro seznam tříd, podtříd a protokolů se můžete mrknout třeba sem
http://www.usb.org/developers/defined_class
-
"...na začátku a na konci pracovní doby si pracovní adresář synchrnizuji rsync-em domu a vše je zalité sluncem..."
Koukám že bezpečnost (dat) je ve vaší firmě opravdu hlavní prioritou.
Jak jsi hned vydedukoval, v jaké firmě dělá? Třeba vyvíjí svobodný software, který je volně veřejně distribuovaný, nebo dělá operátora výrobní linky v sýrárně, takže nejhorší únik dat, který hrozí, je, že se zjistí, kolik tam dávali místo mlíka náhražek.
To zalezi zda mam v popisu prace IT bezpecnost, pokud ne a pokud bych pracoval VYHRADNE jen na tom virtualu (jak bylo popsano v prvnim prispevku), tak by me to asi nezajimalo.
V tomhle případě jsou vyhackovaná windows v roli hypervizoru. Ten přece může do virtuálu libovolně sahat - například do souboru s diskovým obrazem nebo i za běhu do paměti.
No a pak mi tu přijde taková stránka morálně-etická. Upozorněním se zaměstnavatel dozví, že má díru, a může ji zalepit i na dalších počítačích, a dozví se, že po něm někdo jde (pokud to není automat) a může se podle toho zařídit.
Nevím, pro mě zatím byl zaměstnavatel partner, nikoli nepřítel kterému bych se snažil jenom poskytnout minimální nutné množství odvedené práce, abych dostal výplatu, a přijde mi naprosto normální se s ním o takových věcech bavit příp. mu zkusit nějak pomoct.
A nejsou "zdrojáky, své zdrojáky a své poznámky" majetkem zaměstnavatele a součástí jeho know-how? A co by se stalo pokud by unikly mimo firmu?
Třeba u některých projektů, na kterých dělám, by se nestalo vůbec nic - není jednodušší si ty zdrojáky stáhnout z veřejného gitového repozitáře, než se mi snažit vyhackovat počítač?
Bavím se o případu kdy okna sama něco nainstalovala. Pokud něco strčím linuxu do USB, tak buď mám modul v jádře, pak bych asi tomuto modulu měl důvěřovat, nebo ho nemám a systém jen zaloguje neznámé zařízení.
Ne, ten modul nemusíš mít v jádře. Všechny normální distribuce v defaultu nahrávají moduly z disku - prostě buď udev, nebo dokonce přímo jádro (/proc/sys/kernel/modprobe) spustí modprobe. A to, jestli jsem to dobře pochopil (Windows vůbec nerozumím), je ekvivalentní tomu, když Windows zavedou ovladač ležící na disku.
-
Někdo mi něco nainstaloval na widle
jen jestli to něco nebude uzenina 8)
(https://s-media-cache-ak0.pinimg.com/736x/4e/21/b7/4e21b731765db5982e8cb5eb99afe711.jpg)