Как отключить zscaler на компьютере

Обновлено: 06.07.2024

Какие задачи в плане ИТ стоят практически перед 100% компаний?

Решение этих двух проблем в большинстве случаев требует не только усилий системного администратора, но и расходов на дополнительное оборудование и ПО: покупка и настройка почтового сервера; покупка и настройка антиспама; покупка и настройка антивируса; покупка и настройка ПО для фильтрации Web-трафика.

Начальная настройка не является единственным требованием - необходимо еще и поддерживать систему в актуальном состоянии - каждый день появляются новые типы атак и вирусов, спам рассылки также не стоят на месте. И если не уделять должное внимание системе, очень скоро она практически перестанет выполнять возложенные на нее функции.

Но зачастую администраторы ограничиваются настройкой почтового сервера внутри организации, а остальные вопросы решаются лишь частично - спам и вирусы "отлавливаются" на уровне рабочих мест, а если и централизованно, то все равно "внутри" сети. Из-за этого растут и расходы на трафик, и требования к вычислительным мощностям, необходимым для защиты инфраструктуры.

А ведь именно через web-ресурсы сейчас происходит распространение угроз и защита от них становится все более актуальной. Компаниям приходится, с одной стороны, защищаться от этих угроз, а с другой стороны, находить способы сокращения расходов на IT, увеличения продуктивности и упрощения сетей передачи данных.

Еще одна важная проблема, стоящая при построении IT-инфраструктуры - обеспечение отказоустойчивости. Необходимо не только настроить ПО и оборудование, но и снизить время простоя в случае возникновения каких-либо проблем как с "железом", так и с "софтом".

Решением всех этих проблем может стать использование облачных сервисов Zscaler!

Весь интернет-трафик перенаправляется через облако Zscaler. Фактически, Zscaler играет роль удаленного proxy-сервера. Облако обеспечит защиту от вирусов, шпионского ПО, ботнетов и тысячи усовершенствованных веб-угроз. Облако обеспечивает также полный перечень возможностей по URL-фильтрации. Нежелательные URL-адреса могут быть заблокированы, а работа прошедших фильтрацию категорий проконтролирована. Результаты общего мониторинга использования интернета могут быть зафиксированы на несложном в управлении облачном отчетном портале.

Технология Nanolog позволяет в реальном времени осуществлять анализ и контроль всей веб-активности. Централизованная отчетность позволяет упростить администрирование и сократить для организации операционные расходы на IT. Информация об активности пользователей попадает в отчеты практически мгновенно.

clip_image001

Через облако Zscaler перенаправляется и весь трафик электронной почты. Облако обеспечит защиту от вирусов, шпионского ПО и спама. Решение дает возможность повысить контроль потока почты и степень шифрования. Помимо этого, его использование поможет выявить и предотвратить преднамеренную или непреднамеренную утечку данных посредством электронной почты. Ограниченные в ресурсах небольшие компании могут значительно выиграть, получив сервис, более простой в управлении, и главное, значительно более экономичный. Единственное что требуется - изменить запись MX в DNS так, чтобы почтовый трафик был направлен на серверы Zscaler.

clip_image002

Не только небольшие, но и крупные компании могут эффективно использовать сервисы Zscaler. Благодаря Zscaler, компания может защищать свои удаленные офисы, без установки дополнительного оборудования. Контроль трафика осуществляется глобально и корпоративная политика соблюдается пользователями независимо от их местоположения - в офисе, дома или в интернет-кафе.

Задача высокой доступности в Zscaler решена на уровне архитектуры системы - каждый узел (Zscaler Enforcement Node) всех дата-центров имеет многократный уровень дублирования, что гарантирует постоянную доступность облака. В случае отказа узла, трафик может быть перенаправлен на любой другой узел глобальной сети, благодаря чему достигается высокая доступность, не зависящая от локальных проблем, таких как природные катаклизмы.

Интеграция с Active Directory и службами LDAP обеспечивает простое управления пользователями и доступом к ресурсам.

В этом руководстве описаны действия, которые нужно выполнить в Zscaler и Azure Active Directory (Azure AD), чтобы настроить Azure AD для автоматической подготовки и отзыва пользователей и (или) групп в Zscaler.

В этом руководстве рассматривается соединитель, созданный на базе службы подготовки пользователей Azure AD. Подробные сведения о том, что делает эта служба, как она работает, и часто задаваемые вопросы см. в статье Автоматическая подготовка пользователей и ее отзыв для приложений SaaS в Azure Active Directory.

Предварительные требования

Сценарий, описанный в этом руководстве, предполагает, что у вас уже имеется:

  • клиент Azure AD;
  • клиент Zscaler;
  • учетная запись пользователя в Zscaler с разрешениями администратора.

Интеграция подготовки Azure AD зависит от API SCIM Zscaler. Этот API доступен для разработчиков Zscaler, использующих учетные записи с пакетом Enterprise.

Добавление Zscaler из коллекции

Перед настройкой Zscaler для автоматической подготовки пользователей в Azure AD необходимо добавить Zscaler из коллекции приложений Azure AD в список управляемых приложений SaaS.

Чтобы добавить Zscaler из коллекции приложений Azure AD, сделайте следующее:

На портале Azure в области навигации слева щелкните значок Azure Active Directory.

Кнопка Azure Active Directory

Перейдите в колонку Корпоративные приложения и выберите Все приложения.

Колонка "Корпоративные приложения"

Чтобы добавить новое приложение, в верхней части диалогового окна нажмите кнопку Создать приложение.

Кнопка "Создать приложение"

В поле поиска введите Zscaler, выберите Zscaler на панели результатов и нажмите кнопку Добавить, чтобы добавить это приложение.

Zscaler в списке результатов

Назначение пользователей в Zscaler

В Azure Active Directory для определения того, какие пользователи должны получать доступ к выбранным приложениям, используется концепция, называемая "назначение". В контексте автоматической подготовки синхронизированы будут только те пользователи и группы, которые были "назначены" приложению в Azure AD.

Перед настройкой и включением автоматической подготовки пользователей нужно решить, каким пользователям и (или) группам в Azure AD требуется предоставить доступ к Zscaler. Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Zscaler, следуя инструкциям:

Важные рекомендации по назначению пользователей приложению Zscaler

Рекомендуется назначить одного пользователя Azure AD приложению Zscaler для тестирования конфигурации автоматической подготовки пользователей. Дополнительные пользователи и/или группы можно назначить позднее.

При назначении пользователя приложению Zscaler в диалоговом окне назначения необходимо выбрать действительную роль для конкретного приложения (если это доступно). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.

Настройка автоматической подготовки пользователей в Zscaler

В этом разделе объясняется, как настроить службу подготовки Azure AD для создания, обновления и отключения пользователей и (или) групп в Zscaler на основе их назначений в Azure AD.

Откройте заявку в службу поддержки, чтобы создать домен на Zscaler.

Для Zscaler также можно включить единый вход на основе SAML. Для этого следуйте инструкциям, приведенным в руководстве по единому входу в Zscaler. Единый вход можно настроить независимо от автоматической подготовки пользователей, хотя эти две возможности дополняют друг друга.

При подготовке или отмене подготовки пользователей и групп рекомендуется периодически перезапускать подготовку, чтобы членство в группах правильно обновлялось. При перезапуске служба повторно оценит все группы и обновит членство.

Настройка автоматической подготовки пользователей для Zscaler в Azure AD:

Войдите на портал Azure, а затем последовательно выберите элементы Корпоративные приложения, Все приложения и Zscaler.

Колонка "Корпоративные приложения"

Из списка приложений выберите Zscaler.

Ссылка на Zscaler в списке приложений

Выберите вкладку Подготовка.

Снимок экрана: боковая панель подготовки корпоративного приложения Zscaler с выделенным элементом "Подготовка".

Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

Снимок экрана: страница "Подготовка", для параметра "Режим подготовки к работе" установлено значение "Автоматически".

В разделе Учетные данные администратора заполните поля URL-адрес клиента и Секретный токен учетной записи Zscaler, как описано на шаге 6.

Чтобы получить URL-адрес клиента и секретный токен, перейдите в раздел Administration > Authentication Settings (Администрирование > Параметры проверки подлинности) в пользовательском интерфейсе портала Zscaler и выберите SAML в разделе Authentication Type (Тип проверки подлинности).

Снимок экрана: страница Authentication Settings (Параметры проверки подлинности).

Выберите Configure SAML (Настроить SAML), чтобы открыть параметры настройки SAML.

Снимок экрана для диалогового окна настройки SAML, где отмечены текстовые поля Base URL (Базовый URL-адрес) и Bearer Token (Токен носителя).

Выберите Enable SCIM-Based Provisioning (Включить подготовку на основе SCIM), чтобы получить базовый URL-адрес и токен носителя, а затем сохраните настройки. Скопируйте базовый URL-адрес в поле URL-адрес клиента, а токен носителя — в поле Секретный токен на портале Azure.

После заполнения полей, указанных на шаге 5, щелкните элемент Проверить подключение, чтобы убедиться, что Azure AD может подключиться к Zscaler. Если установить подключение не удалось, убедитесь, что у учетной записи Zscaler есть разрешения администратора, и повторите попытку.

Снимок экрана: раздел Admin Credentials (Учетные данные администратора) и кнопка Test Connection (Протестировать подключение).

Снимок экрана: текстовое поле Notification Email (Адрес электронной почты для уведомлений).

Выберите команду Сохранить.

В разделе Сопоставления выберите Синхронизировать пользователей Azure Active Directory в Zscaler.

Снимок экрана: раздел "Сопоставления" с выделенным параметром "Синхронизировать пользователей Azure Active Directory с Zscaler".

Снимок экрана: раздел "Сопоставление атрибутов" с семью сопоставляемыми атрибутами

В разделе Сопоставления выберите Синхронизировать группы Azure Active Directory в Zscaler.

Снимок экрана: раздел "Сопоставления" с выделенным параметром "Синхронизировать группы Azure Active Directory с Zscaler".

Снимок экрана: раздел "Сопоставление атрибутов" с тремя сопоставляемыми атрибутами

Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

Чтобы включить службу подготовки Azure AD для Zscaler, измените значение параметра Состояние подготовки на Включено в разделе Параметры.

Снимок экрана: для параметра "Состояние подготовки" установлено значение "Включено".

Определите пользователей и (или) группы для подготовки в Zscaler, выбрав нужные значения в поле Область в разделе Параметры.

Снимок экрана: параметр Scope (Область) с выделенным параметром Sync only assigned users and groups (Синхронизировать только назначенных пользователей и группы).

Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

Снимок экрана: боковая панель подготовки корпоративного приложения Zscaler с выделенной кнопкой "Сохранить".

После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра отчетов о подготовке, в которых зафиксированы все действия, выполняемые службой подготовки Azure AD с приложением Zscaler.

Дополнительные сведения о чтении журналов подготовки Azure AD см. в руководстве по отчетам об автоматической подготовке учетных записей.

Здесь мы поговорим о том, как я обошел защиту в компьютерном клубе Arena Arsenal. Все это привело к тому, что я смог спокойно продолжить пользоваться компьютером без оплаты доступа и какого либо абонемента. Просто выполнил пару не особо сложных действий и компьютер в моем распоряжений, абсолютно бесплатно.

image


Предыстория

Однажды друг пригласил меня сходить в компьютерный клуб, взять абонемент на всю ночь и играть. Раньше в таких местах я никогда не был и мне было интересно сходить туда и заценить всю обстановку и окружение. Когда я туда пришел, я зарегистрировал свой аккаунт в лаунчере и начал знакомится и изучать, как там все работает. Используется там E-Launcher SENET от ENESTECH Software. После изучения лаунчера и понимая как это работает, мне как всегда стало интересно, а как это обойти? И тут началось довольно интересное приключение.

Введение

Начнем с объяснения, как вообще работает компьютерный клуб.

У каждого клиента есть свой личный аккаунт в лаунчере. Счет в аккаунте нужно пополнять, если на счету будет 0р, то через пару секунд, пользователя просто выкинет из системы. Счет можно пополнить на любую сумму, именно от суммы зависит то, сколько ты можешь пользоваться компьютером. Например, внеся 40р, ты сможешь пользоваться компьютером около 38 минут. Компьютерный клуб предлагает в некоторые промежутки времени более выгодные абонементы как по сумме, так и по времени. После оплаты какой либо суммы, выдается чек с кодом, который нужно ввести в своем аккаунте в лаунчере и сумма успешно пополняется и продлевается время работы за компьютером. Коды одноразовые, генерируются случайными цифрами и действуют в течении 24 часов. Если код не активировать в течении 24 часов, то он обнуляется и больше не действует. Если же код активировать и выйти из аккаунта, то время заканчиваться не будет.

Первые попытки обхода

Первым делом я пробовал закрывать лаунчер с помощью диспетчера задач, но после закрытия лаунчер постоянно перезапускался. Решил я поступить похожим образом и скачал диспетчер задач с большим функционалом, как Process Explorer и Process Hacker. С помощью них я не закрывал процессы связанные с лаунчером, а именно замораживал/останавливал их и по сути я добился того, что уведомления о том, что на счету осталось мало времени, попросту не было. Сам лаунчер был заморожен и обратного отсчета времени не было и эти факты меня сначала удивили и я даже начал радоваться, но рано. Когда времени на счету истекло, меня попросту выкинуло из системы, как и должно быть. Большинство процессов связанные с лаунчером и с самим этим контролем, мне остановить и закрыть не удалось, так как недостаточно было прав для этого.

В любом случае тут понятно, что время контролируется со стороны сервера, а не со стороны клиента. И по сути когда время заканчивается, сервер посылает определенную команду и компьютер со стороны клиента принимает эту команду и его выбрасывает из системы. То есть, сам компьютер рабочий, но его использование ограничивает сам лаунчер и процессы контроля. Если от них избавится, то можно спокойно пользоваться компьютером. После закрытия лаунчера, достаточно открыть проводник и на жестком диске найти нужные тебе программы и игры, так как в большинстве случаев они предустановлены, а лаунчер просто упрощает их запуск, чтобы не копаться в папках в проводнике.

Закрытие лаунчера

Покопавшись в компьютере, мне удалось найти способ полного закрытия лаунчера. Так как стандартным способом с помощью диспетчера задач, закрыть и снять с автозагрузки лаунчер не получается из за отсутствия прав администратора.

Начнем мы по порядку:

1. Открываем проводник

Проводник можно открыть с помощью диспетчера задач, выбрав любой процесс и открыв расположение файла.

image


Открытие проводника

В итоге у нас должен открыться проводник с местоположением диска C: где собственно установлена сама система Windows.

2. Открываем PowerShell

Открыв проводник, переходим по пути "C:\Windows\System32\WindowsPowerShell\v1.0" и открываем PowerShell.

image

Открытие PowerShell

3. Открываем реестр

После открытия PowerShell, пишем «regedit» и у нас должен открыться реестр.

image

Открытие реестра

4. Удаляем с автозапуска лаунчер и связанные с ним процессы.

Открыв реестр, переходим по пути "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" и удаляем с автозапуска лаунчер и связанные с ним процессы.

image

Отключение автозапуска

Выбрав нужные поля в реестре, можно успешно удалить процессы с автозапуска.

Данный способ может работать не на всех компьютерах, но имеет место быть.

Как выяснилось позднее, закрывать лаунчер для обхода защиты совсем необязательно.

Обход защиты

Как мы помним, сам компьютер рабочий, но его использование ограничивает процессы контроля. Эти процессы связываются с локальным сервером и в случае нехватки средств на счету клиента, сервер посылает определенный запрос и пользователя просто выкидывает из системы.

И теперь тут появляется вопрос, а что если запретить сетевой доступ определенным процессам контроля? Чтобы процесс не смог принять команду сервера о том, что пользователя нужно выкинуть из системы.

Теперь мы начнем по порядку:

1. Скачиваем NetLimiter

Первым делом нам нужно скачать программу, для управления сетевыми соединениями.

image

Скачивание NetLimiter

С установкой проблем возникнуть не должно, так как прав администратора для этого не требуется и программа спокойно работает с правами пользователя.

После установки и запуска программы, мы заходим в настройки, включаем «Блокировщик» и сохраняем настройки.

image


Включение блокировщика

После этого, когда какой либо процесс будет стучатся в сеть, программа будет спрашивать у нас разрешение — «Разрешить» или «Запретить» доступ в сеть определенным процессам.

image

Нас будет интересовать эти 3 процесса, именно они работают сообща друг с другом и решают, когда выкидывать пользователя а когда нет. Заблокировав им доступ в сеть, мы успешно обходим защиту и по окончанию времени, нас не выкидывает из системы и мы можем успешно пользоваться дальше компьютером, при этом не оплачивая к нему доступ.

После окончания времени и блокирования доступа в сеть процессам, мы встречаем такую картину:

image

Тут мы видим, что процессы синхронно начинают отправлять запросы нашему компьютеру, видимо связанные с выкидыванием из системы из за окончания времени, но программа блокирует сетевую связь процессам с нашим компьютером, тем самым давая возможность спокойно пользоваться компьютером бесплатно.

Ниже прикладываю видео с демонстрацией обхода.

В этом видео я демонстрирую обход защиты, где по окончанию времени я мог дальше пользоваться компьютером. В видео имеется еще одно видео, где демонстрирую то, как разрешаю доступ в сеть процессам контроля и буквально через пару секунд, меня выкидывает из системы. То есть, компьютер уже получает запрос с сервера, принимает его и выполняет команду.

Советы по защите

Тут я дам пару советов о том, как предотвратить такие случаи.

1. Ограничить доступ к использованию PowerShell/cmd

2. Ограничить доступ к использованию реестра

3. Контролировать установку программ. Можно добавить белый список разрешенных программ «Игры, лаунчеры» и в черном списке просто запретить использование любых других exe файлов

4. Регулярно устанавливать обновления Windows и всех установленных программ, чтобы система оставалась в актуальном состоянии

5. Можно осуществить хранение информации о времени выхода из сессии пользователя, чтобы в случае если не будет связи с самим сервером (который посылает команду для отключения пользователя из сессии), компьютер у себя локально самостоятельно отключал пользователя в определенное время. То есть, информация будет храниться в кэше и своевременно будет обновляться по мере пополнения счета пользователя и по истечению времени отключать пользователя из сессии

Итоги

Как мы видим, мы смогли обойти защиту и пользоваться компьютером абсолютно бесплатно. У нас не было прав администратора, мы были ограничены в использовании, но это не помешало нам обойти защиту и обойти довольно легким способом. Установил программу для контроля интернет соединений, запретил сетевой доступ определенным процессам и компьютер в твоем распоряжении.

Отказ от ответственности

Содержание блога было сделано доступным только для информационных и образовательных целей.

Настоящим я отказываюсь от любой и всякой ответственности перед любой стороной за любые прямые, косвенные, подразумеваемые, штрафные, специальные, случайные или другие косвенные убытки, возникающие прямо или косвенно от любого использования контента блога несет исключительно ответственность читателей.

Благодаря языку разметки декларации безопасности (SAML) пользователи могут входить в корпоративные облачные приложения с помощью учетных данных аккаунта Google Cloud.

Как настроить систему единого входа для приложения Zscaler с помощью SAML

Ниже описано, как настроить систему единого входа (SSO) для приложения Zscaler с помощью SAML.

На главной странице консоли администратора выберите БезопасностьНастройка системы единого входа для приложений SAML.

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

На главной странице консоли администратора нажмите ПриложенияМобильные и веб-приложения. Нажмите Добавить приложениеНайти приложения.
  • URL ACS. Введите значение, скопированное в Zscaler на шаге 1.
  • Идентификатор объекта. В идентификаторе объекта замените фрагмент соответствующим значением из URL ACS.

Примечание. Сопоставление атрибутов для Zscaler не требуется.

На главной странице консоли администратора нажмите ПриложенияМобильные и веб-приложения.

Чтобы включить или отключить сервис для всех в организации, нажмите Включено для всех или Отключено для всех, а затем – Сохранить.

Как включить или выключить сервис для организационного подразделения

  1. В левой части страницы выберите организационное подразделение.
  2. Выберите Вкл. или Выкл.
  3. Если вы хотите, чтобы эта настройка продолжала действовать при изменении параметров для родительского организационного подразделения, нажмите Переопределить.
  4. Если для организационного подразделения уже установлено значение Переопределено, выберите подходящий вариант:
    • Наследовать – для подразделения будут действовать те же настройки, что и для родительской организации.
    • Сохранить – будет применяться новое значение параметра (даже если настройки в родительской организации изменятся).

При необходимости включите сервис для группы пользователей.
Используйте группы доступа, чтобы включить сервис для определенных пользователей в организационном подразделении или организации верхнего уровня. Подробнее…

Zscaler поддерживает систему единого входа, инициируемую как поставщиком идентификационной информации, так и поставщиком услуг. Чтобы проверить работу системы в одном из этих режимов, следуйте приведенным ниже инструкциям.


Логиниться с такого лептопа только в корпоративную почту и жиру. Камеру и микрофон заклеить монтажной пеной.


Встречный вопрос – что заставляет соглашаться на такие условия труда?


с соотсветствующими пунктами в контракте

Устанавливает следящий софт с MITM схемой работы, типа Zscaler, на рабочий лептоп

И сразу же такой работодатель идёт в пешее эротическое. Тоже мне, "гугл" нашёлся.

Я бы к такому "ыздэлию" и на пушечный выстрел не подошёл бы. Вдруг они потом моё личико своруют и в "дипфейки" со Спуфингом влепят?


Я бы не стал подписывать такой контракт.


Посоветую инвестировать в собственную квалификацию, чтобы слать таких работодателей лесом.


Если вы себя уважаете, то не станете работать на такого работодателя.

fernandos ★★★ ( 23.09.21 12:25:39 )
Последнее исправление: fernandos 23.09.21 12:26:34 (всего исправлений: 1)


В пекарню пойдешь работать?


Это делают все работодатели, которые хоть как то заботятся о защите информации.


Еще один. Где ж вы все работаете-то?


Это делают все работодатели, которые хоть как то заботятся о защите информации.

Нэд. Это делают шарашкины конторы мелкого размера с дураками во главе, ибо это лучший способ быстро избавиться от всех более-менее технически ценных кадров.

ptarh ★★★★★ ( 23.09.21 12:37:24 )
Последнее исправление: ptarh 23.09.21 12:37:37 (всего исправлений: 1)

В принципе ничто не заставляет, но когда ты уже прошёл все этапы найма на новую работу, уже дал телефоны своих рекомендателей и их уже обзвонили, уже договорился о зарплате и получил контрак, отказываться от него, только потому, что компания будет следить за тобой как-то не с руки. Про Zscaler и прочие нежданчики узнаёшь позже. Какое-то время даже пытаешься смириться.

очевидно, что не у таких м…ов )

Это делают шарашкины конторы мелкого размера с дураками во главе, ибо это лучший способ быстро избавиться от всех более-менее технически ценных кадров.

Немаленькая такая корпорация с десятками тысяч работников во всём мире. Помимо слежки тут ещё постоянный корпоративный спам на разные темы, включая: «How to be an effective ally for the LGBTQ+ community». В Zoom какая-то постоянная корпоративная движуха, есть даже уроки зумбы (танцы), для тех, кому совсем делать нечего.

В мелких конторах ничего такого как раз нет и даже разрешают самому установить Linux в качестве основной OS рабочего компа.

hummer ★ ( 23.09.21 12:43:59 )
Последнее исправление: hummer 23.09.21 12:45:00 (всего исправлений: 1)


За последние 12 лет я работал в 5 местах (госконтора, банк, прозиводитель медицинских девайсов, финтек контора). Везде, кроме одной мелкой конторы с узкоспецифичным продуктом, трафик с рабочих устройств мониторился.

cocucka ★★★★★ ( 23.09.21 12:45:34 )
Последнее исправление: cocucka 23.09.21 12:46:11 (всего исправлений: 1)

Берёшь и отказываешься, заодно накатав в LI пост о том что в этой конкретной компании обманывают при найме, не рассказывая очень важные нюансы контракта.


Вот ты, ценный технический кадр, утвердаешь, что твоему работадателю наплевать на ИТ безопасность и ты ходишь в интернет с рабочих девайсов безо всякого контроля? Или ты не настолько технически подкован, чтоб распознать, что твой девайс таки контролируется?

cocucka ★★★★★ ( 23.09.21 12:56:00 )
Последнее исправление: cocucka 23.09.21 12:56:09 (всего исправлений: 1)


Между «трафик пропускают через проксю и режут нелегальное говно по спискам» и «трафик логируют и потом проверяют на непродуктивную деятельность» бездна, в том числе и законодательная. Про делать скриншоты, замерять какой софт когда открывал и прочее даже речи быть не может. В приличных странах это еще и запрещено без ведома сотрудника и очень веских причинх, такие дела. Бузьныс - вэри биг и вэри сириос. Ну и с такими же дело имею, в основном.

Это не значит, что стоит исходить из того, что работодатель не может проверить рабочий ноут на пример нелегального контента. В каких-то случаях он даже обязан это делать, так что хранить домашний прон, ставить спираченный софт и логиниться с него на порнхаб не стоит. Но какой сраный пейсбук/твиттор, прости господи, никого не чешет. Пишу тебе сейчас на лор с рабочего ноута - привет!

ptarh ★★★★★ ( 23.09.21 12:57:24 )
Последнее исправление: ptarh 23.09.21 12:57:36 (всего исправлений: 1)


А где в ОП было про проверку на непродуктивную деятельность? Было про мониторинг траффика zscaler’ом, что есть тупо прокси.

З.Ы. Я тоже пишу сейчас с рабочей тачки.

cocucka ★★★★★ ( 23.09.21 12:59:25 )
Последнее исправление: cocucka 23.09.21 13:00:03 (всего исправлений: 1)

Берёшь и отказываешься, заодно накатав в LI пост о том что в этой конкретной компании обманывают при найме, не рассказывая очень важные нюансы контракта.

И начинаешь снова искать работу, ходить на хренову кучу собеседований, отвечать на глупые вопросы HR, дёргать рекомендателей, без которых никуда не берут. К тому же эта работа близко от дома и снова ездить по пробкам по 100+ км в день как-то совсем не хочется. Как тут уже говорили следят почти все компании, просто тут какой-то совсем уже перебор со всей этой корпорастией.


Контроль всего, что сотрудник делает за девайсом, это не безопасность, тебе херки ерунду наплели.


Уж точно не туда, где будут за мной шпионить, да ещё с моего как бы согласия.


и Korchevatel , ptarh и прочим, заявляющим «валить от такого работодателя». Последние 3-4 года явно намечается тренд на то, что подобное соглашение станет дефолтным, а многие крупные корпорации уже разрабатывают системы анализа не только сетевой активности своих работников но и эмоционального состояния например. И да - заклеить камеру в таких системах не выйдет, а ещё и умные часы корпоративные носить скорее всего придётся. Это хорошо когда оно ещё в договоре прописано, многие галерки такое практиковали ещё когда оно не стало мэйнстримом.


Что я делаю на девайсе никто и не контролирует. Контролируют только то, что покидает этот девайс.

З.Ы. Херки это фанатки группы HIM, если ты не в курсе.


На рабочем ноуте - исключительно работа, на домашнем - лор и порево. Для работы лучше регать тех.учетки заново как раз на рабочую почту. При увольнении будет проще.


Шпионить, это когда в толчке камеры висят. То, про что ТС написал, это меры по обеспечению ИТ безопасности. В основном, предотвращение внешних угроз путем фильтрации траффика, но также и предотвращение утечек изнутри.


И сразу же такой работодатель идёт в пешее эротическое.

А ты идешь выдувать ротом пыль из пятнадцатилетних системников в госшараге 😁


Если ты не член борды, то прогоняют DNS через сиськопроксю и все дела. Что они делают и проверяют и что логгируют есть в доступном сотрудникам соглашении. Она еще и отключаемая, так как портит частенько коннекты к клиентским сетям.

Херки это сотрудники отдела HR, если ты не в курсе.


Админы локалхоста, главное с умом тратить мамкины инвестицыы 😁


Откуда у шарашкиной конторы деньги на нормальные системы слежения? Ну и соответственно на специалистов их поддерживающих?


Могу только посоветовать страны с защитой прав сотрудников в законодательстве, что тут сказать. Хотя все еще не понимаю, зачем мириться с этим на актуальном высосанном впустую рынке айти.


А ты чего конкретно боишься?

  • сопрут учетки?
  • узнают, что ты гуглишь рабочие задачи?
  • на работе смотришь Смурфиков?


Это говно не особо дорогое - мелкомягкие предлагают для своего облачного говна создавать детальные статистики продуктивности, также всякие телефонные шарашки давно детально замеряют своих гребцов, а там не ахти какие деньги вращаются.


меры по обеспечению ИТ безопасности

Для этого достаточно обычной прокси, никакой софт специального назначения на комп сотрудника ставить не нужно.

То, про что ТС написал, это меры по обеспечению ИТ безопасности. В основном, предотвращение внешних угроз путем фильтрации траффика, но также и предотвращение утечек изнутри.

Это имеет слабое отношение к безопасности, скорее это просто формальность. При большом желании все эти их ограничения нетрудно обходятся. Например мне нельзя запускать regedit, но вот я зашёл в Local Group Policy Editor и сам себе разрешил. При желании я могу просто убить этот Zscaler или даже удалить его из системы, но ведь они это тоже заметят.


«How to be an effective ally for the LGBTQ+ community»

Ну это вообще дно)


Херки это сотрудники отдела HR, если ты не в курсе.

Сроду их все "хрюшами" называли, а "херки" – это wannabe-готы женского полу.

Для этого достаточно обычной прокси, никакой софт специального назначения на комп сотрудника ставить не нужно.

этот тренд потому и намечается, что на него не отвечают твердым нет.


У тебя отсталые представления о ИТ безопасности. Фильтрация на уровне DNS это уровень роскомпозора.

Что они делают и проверяют и что логгируют есть в доступном сотрудникам соглашении.

Да, а что кто-то утверждал обратное?

Херки это сотрудники отдела HR, если ты не в курсе.

Это ХРюши, максимум овчарки.


это как? бабский календарь сделают? но на основе чего?



False dichotomy между «слежка» и «небезопасно» убери. Небезопасно как раз вскрывать и мониторить трафик.


У тебя отсталые представления о ИТ безопасности. Фильтрация на уровне DNS это уровень роскомпозора.

В моей конторе прогрессивность уровнем слежки не измеряют, а так можешь хоть под китайским фаерволлом сидеть и пукнуть бояться. Стильно, модно, молодежно современно!

Кстати, alpha , а расскажи, если это не секрет, как со всем этим обстоят дела в Red Hat? По моему это чуть ли не единственная корпорация, где можно установить Linux на рабочий комп. Ну может быть ещё и в Google можно, хотя я подозреваю, что там предпочитают Маки. На твоём рабочем компьютере установлен какой-то следящий софт с MITM и прочим корпораством?


это как? бабский календарь сделают? но на основе чего?

С помощью камеры анализируют, насколько у тебя сосредоточенное выражение лица. Если будешь сонный - режут ЗП. В Москве водителей автобусов уже контролируют так.


У того же майкрософт есть патент на ПО и оборудование позволяющее перестраивать трек задач и график совещаний на основе уровня стресса сотрудника.


Возможно, а возможно просто дополнительные рабочие места для тех кто эти все системы поддерживает. Пузыри они такие, рано или поздно - начинают подпитывать сами себя.


У тебя откровенно вредные представления о ИТ безопасности. Любой энфорсинг чего попало техническими средствами на рабочем онтопике — зашквар, дыра и ненужно. Есть свод правил (нельзя не обновлять, нельзя не шифровать, нельзя обходить 2FA…), люди ему следуют, им верят. Ну еще мониторят утечки по публичным источникам, это полезно.


На мой не установлен, там тупо федора, что поставил, то и вот.

t184256 ★★★★★ ( 23.09.21 13:37:33 )
Последнее исправление: t184256 23.09.21 13:39:49 (всего исправлений: 1)


Крутяк. То есть можно сотрудника застраховать, следить за стрессом, накидывать задач, потом он выйдет в окно и получить страховку?

Читайте также: