Zeneszek.com

Na ezért kell tartományi fiókot létrehozni ...

Annak aki feltöri Windows alatt egy szűz kliensgépről egy tartományban létrehozott fióknak jelszavát, az vendégem egy kör Chivas Regal-ra.
Ott a helyi root jogosultsággal semmit sem tud kezdeni. Talán a klienst használhatatlanná tudja tenni, meg a helyi fióknak a jelszavát megtudja szerezni ha egy kicsit szemfüles, de magához a szerverhez ha beledöglik sem fog hozzáférni.
De ez csak egy burok a sok közül, ami még védi a rendszert. Én ellentétben másokkal, nem adok root jogot akárkinek!!!
(Ha osztod a sémagazda, és a tartománygazda jogosultságot fűnek-fának, ne csodálkozz!!! Na ugyanezért nem használok Microsoft fiókot sem. Hadd én döntsem már el az én gépemen, hogy mikor rakom fel a frissítéseket. )

Távolról ugyanis csak adott kliensek léphetnek be a szerveren lévő munkamenetekbe, ezek mindegyike VPS alapú, tehát a szerverre közvetlen senki nem tud bejelentkezni.
Plusz a szerveren lévő megosztások teljes egésze csak nálam vannak felcsatolva, mindenki más csak adott meghajtókat lát belőle. Plusz rendszer és tartományi meghajtó elérése mindenkinél tiltott.

Akkor a távoli eszközök tartományba léptetését saját VPN szerverrel oldom meg.
A VPN kapcsolatnak feltétele a működő internet kapcsolat, a hitelesítő kulcs, illetve a szerver oldali Client Exclusive bejegyzés.
A VPN konfigurációjában benne van, hogy egy adott hitelesítő kulcsról egy időben csak egy eszközt engedjen be (kvázi másolásvédelem), valamint a Client Exclusive-ban a VPN szerver által kiosztott címek közül 1 kulcshoz csak 1db IP címet rendel.
Ugyanakkor minden generált kulcsról Excel táblázatot készítettem, hogy kinél van, és milyen célból ilyen kulcs.

Ha valakinél eltűnik, vagy az adott illető tiltólistára került, akkor a ClientExclusive bejegyzését törlöm, és vele együtt az összes személyes tartalmát, amit a szerveren tárolt.
Ezután már nem fogja elérni a megosztásokat sem, mivel semmilyen kapcsolat nem köti a szerveremhez az adott gépet.
Innentől kezdve 50 bejelentkezésig még tud hitelesíteni a címtárból (ha fel lett csatolva a gépe is a tartományba), azután ha nincs meg a helyi fióknak a jelszava (ergo nem tud bejelentkezni) akkor reinstall !!!
Plusz mivel ebbe a VPN kapcsolatban is van egy alapértelmezett titkosítás, amit sehogyan nem lehet kikapcsolni, és aminek köszönhetően fele sávszélességgel dolgozom távolról, én azért szintén kezet fognék azzal, aki ebbe az adatfolyamba bele tud hallgatni.

Illetve egyedi reklámvédelem fut a nálam fellelhető gépek mindegyikén. Egy host file szintű és 2db böngészőbe beépülő.
Tehát célzott hírdetések nálam nem tudnak megjelenni, illetve ha lenne uTorrentem még abban is csak fekete kockákat látnék a reklámok helyén.

Jah és minden érzékeny szolgáltatás nem a megszokott portján elérhető.
Tehát, ha mondjuk volna egy SSH szerverem, akkor az nem a 22-es porton lenne elérhető, hanem valahol az 50000-es tartományban ... vagy valahol máshol!!! Én pontosan tudom, hogy nem ott van, de azok nem, akik próbálkoznak.
Plusz a routerem is véd még a port scanner robotoktól, így aki 3x próbálkozik hibás portokról, abban a pillanatban felkerül a feketelistára, és 10 évig még a "működő" szolgáltatásokhoz sem fog hozzáférni.