Полигон-2

La Forge написал:

[q]

А у нас локальная сеть отделена от интернета. Но пользователей это не остановило Тетка получила такие файлы - опс, не открываются, взяла флэшечку и давай ее совать во все компы подряд в отделе В итоге вирь полез по сетке куда только возможно, ибо ни один антивирь его в тот момент не ловил. Всё это безобразие продолжается, а тётку собираются уволить.

[/q]

Тетушка тут не причем, с бабы спроса нет .
А вот что админ разрешил USB - молодой, никогда не восстанавливал деловую сеть с 000000 ...
В контроре, где я иногда бываю, ковырялочкой на матери выведены из строя все USB. Клавы и мыши - ПС/2 .
Всем под угрозой лишения премии ( все, что свыше минималки - премия ) запрещено ставить любой софт, диски в контейнерах съемные, для наискорейшего бэкапа, слот под диски - 1 шт.
Некотрым разрешено иметь свои диски в контейнерах.
Сети нет и разъем сети разрушен аппаратно. На компах - пломбы.
Проигрыватели дисков под крышечками с замочком, ключик - у админа ( ну это скорее для острастки, на ключике табличка из фольгированного стеклотекстолита с надписью "применять только в присуствии админа" ).
Однако, народ ходит на работу со своими ноутами для соцсетей, с сотовыми модемами.
На компах отсуствуют :
Оффис ( да, не фонтан... ),
Продукты Адобе ( кроме ПДФ-пидера )
...Еще много чего отсуствует.
Винты у всех маленькие, бэкапятся каждую неделю явочным порядком у админа.
Перез такими зверствами был потерян проект размером в полгода всей рабочей группы, по сети кодировщик распостранился...
У бухгалтерши рабочий комп без интернетова, все счета перебирает ручками с экрана ноута - и не ленится, т.к. после пары перестановок W с гарниром ей предложили услугу "лечение компа от вирусов" проводить по коммерческим расценкам в счет её зарплаты. Для успокоения подарили новый ноут - но только для работы и интернета.

La Forge написал:

[q]

... И охранники с овчарками наверное?

[/q]

Насчет сохранности железа - поступили очень просто :
Каждая железка, стоимостью от $10, имеет свой инв. номер и записана на конкретного чела.
Говорят, иногда попадаюся аппаратики без номера - тогда начальство решает, что делать - или пронумеровать/приписать, или сдать в пункт приема железа .

Доступ на ЮСБи был у меня (для фоток и прочего), у безопасника, и у начальника

La Forge Да, у меня не столько машин, но и те 30 компов на момент внедрения программки (не буду вслух говорить) были прескоты на 478 с 512 мб, или с гигом - это в лучшем случае, и я убедил начальство на апгрейд, и то , не "сразу", а постепенно, по 4-5 машин

Fe-Restorator написал:

[q]

Паранойя заразна.
Чем плоха схема с ежедневным централизованным бекапом и отсутствием локальных винчей на хостах?
Позапрещать локальные усб-соскИ тож можно, при необходимости. А коль нужно сливать например рабочие фотки, выделить под сие отдельный комп, он-же "сервер входящих".

Если к сети предприятия нельзя подобраться через общие сети, значит можно пробраться средствами социальной инженерии. Не сработает социальная, можно воспользоваться экономической инженерией или тупо силовым подходом...

[/q]

1. Работать без винтов в каждой машинке - это кошмар. Даже с резиновым ОЗУ. Софт, кстати, весьма требователен к размеру - некотрые рисунки почти не работают на 4 гб.
2. В том примере, который я привел, имеется защита только от субъекта, извесного в некотрых средах как "ТП" и лиц, имеющих не много различий с такой тетушкой.
3. Художники подобраны таким образом, что каждый рисует свой участок Картины, и если он в упор не справляется - или приглашают знающего , или всем коллективом стараются обойти сложное местечко. Кстати, рисование весьма длительно по времени, не меньше года или типа того.
4. К головному предприятию пытались некотрое время назад подобраться - но кое-кто решил не экономить на мелочах.

Звиняй, не вполне понимаю, что означает "рисунок". По-определению, это небольшая по площади роспись, выполненная вручную.

Без винчей работать можно, для локальной ОС приспособлены флешкарты, на манер SSD. Нешустро, но только на чтение - вполне приемлемо. Да и "ремонт" компа опосля вир-атаки сводится лишь к замене карточки на такую-же, из заранее заготовленного админом комплекта. BigBoss доволен - ремонт занимает всего 7 минут, 5 из которых - доехать на лифте на нужный этаж... Покалеченная флешка внимательно изучается, и ежли ТП действительно бродит по злачным секс-жопам, штраф ей неминуем (поначалу возбухали, но после пары "залётов" притихли и нежужьжьат ).
Шифровать данные - не получится, на-запись открыт только текущий файл, если порубится, то только он один, ибо зараз можно открыть на запись только один сетевой файл... (Как вариант - только 2, или только 3, одним словом - с ограничением на сессию).
Ежедневный бэкап, аврально-аварийный бекап, автоматическое резервирование открытых файлов средствами сервака - всё это в помощь.
В корридоре поставлен "USB-мат", то-бишь неттоп с USB-хабом и картридером. На него сливаются все флешки и карточки сотрудников, попутно проверяемые антисифом. Поскольку половина сотрудников - аутсорсеры, такой "мат" весьма полезен, особливо, когда везётся "куча документации от заказчика/клиента". Или кады надо слить инфу из сети предприятия для того-ж клиенту.

На компах сотрудников USB разъёмов нет, точнее - есть, но с +12В питанием и без сигнала. Был случай, коды бумкнуло, заискрилося и задымилося - пришедший клиент решил втихаря что-то слить себе на флешку...
Права поговорка: "на воре и флешка горит!".