Usuario peligroso
Hola,
Soy el informático de una oficina de unas 40 personas, con una red bajo windows 2000 server, y windows xp pro en los clientes. Hay en la red un usuario que le gusta mucho enredar y joder a algún que otro compañero,.. Ya le he quitado los permisos de administrador, pero dado que el tío sabe un poco del tema, temo que se meta donde no deba y borre lo que no tiene que borrar. Quisiera algún tipo de programa o algo para registrar todo lo que hace, para en el caso de que se cargue algo del servidor o algún compañero, tener pruebas de que ha sido el. Ya ha pasado, pero todos son sospechas,... No hay pruebas.
¿Existe algún tipo de programa o software que cree un registro de lo que hace un usuario? ¿Qué se te ocurre a parte de esto que pueda hacer? Cómo protegerse de este tipo de personas, ¿qué siempre toca alguna?
Muchas gracias!
Soy el informático de una oficina de unas 40 personas, con una red bajo windows 2000 server, y windows xp pro en los clientes. Hay en la red un usuario que le gusta mucho enredar y joder a algún que otro compañero,.. Ya le he quitado los permisos de administrador, pero dado que el tío sabe un poco del tema, temo que se meta donde no deba y borre lo que no tiene que borrar. Quisiera algún tipo de programa o algo para registrar todo lo que hace, para en el caso de que se cargue algo del servidor o algún compañero, tener pruebas de que ha sido el. Ya ha pasado, pero todos son sospechas,... No hay pruebas.
¿Existe algún tipo de programa o software que cree un registro de lo que hace un usuario? ¿Qué se te ocurre a parte de esto que pueda hacer? Cómo protegerse de este tipo de personas, ¿qué siempre toca alguna?
Muchas gracias!
10 Respuestas
Respuesta de mackx
1
Siento no poder ayudarte mucho en este tema, no conozco ninguna aplicación para esto, prueba con un snifer para ver si intenta conectarse a otro equipo y ver a donde orienta el trafico de su equipo, yo también he tendió gente así, y lo que hemos hecho ha sido quitarle todos los permisos ( de forma que ni siquiera podía instalar ni ejecutar nada de lo que no tuviera que ver con su trabajo, esto lo solucionara fácil si de verdad sabe algo, pero si observas que ha vuelto a recuperar los permisos para ejecutar aplicaciones le tendrás cogido. Siento no poder ayudarte más, hay un programa para esto creo que se llama tewak xp ( es algo parecido, pero no se como es exactamente) siento no poder ayudarte más prueba con otro experto y si consigues algo agradecería me lo comentases por esta vía
( De todas formas indagare más al respecto para ver si entre los dos encontramos algo)
( De todas formas indagare más al respecto para ver si entre los dos encontramos algo)
Respuesta de yogutero
1
En estos casos se pueden hacer varias cosas:
- Si este usuario solo trabaja en ciertos programas puedes dar permisos exclusivamente para ejecutar contaplus, word y lo que sea. Para ello tendrías que tocas políticas y lo mejor es usas unidades organizativas.
- También esta la opion VNC, aunque el sabrá cuando estas conectado puesto que cambia el color del icono y tomas el control de la maquina.
- Si lo que quieres es que no se cargue nada de su equipo te recomiendo deep freeze, haga lo que haga en la maquina cuando reinicias el equipo vuelve a su estado original.
- Por ultimo si lo que quieres el grabar las cosas que hace hay muchos programas de tipo keylogger que son completamente invisibles al usuario, puedes probar con este que esta en ingles pero es muy completo, te dice las webs visitadas, los programa ejecutados, lo que teclea el personal etc.
http://stealth-keylogger.softonic.com/ie/39614
- Si este usuario solo trabaja en ciertos programas puedes dar permisos exclusivamente para ejecutar contaplus, word y lo que sea. Para ello tendrías que tocas políticas y lo mejor es usas unidades organizativas.
- También esta la opion VNC, aunque el sabrá cuando estas conectado puesto que cambia el color del icono y tomas el control de la maquina.
- Si lo que quieres es que no se cargue nada de su equipo te recomiendo deep freeze, haga lo que haga en la maquina cuando reinicias el equipo vuelve a su estado original.
- Por ultimo si lo que quieres el grabar las cosas que hace hay muchos programas de tipo keylogger que son completamente invisibles al usuario, puedes probar con este que esta en ingles pero es muy completo, te dice las webs visitadas, los programa ejecutados, lo que teclea el personal etc.
http://stealth-keylogger.softonic.com/ie/39614
Respuesta de rubo2
1
Pues por suerte no me he topado con ninguna pero si la red esta bien hecha, yo le daría privilegios de USUARIO y va que se mata, si no se sabe la clave de administrador no puede hacer nada. Yo no conozco programas que creen este tipo de logs, lo único que conozco es el visor de sucesos de herramientas administrativas, que te hace un seguimiento y registro de sistema, aplicaciones y seguridad de windows
Respuesta de liuvgat
1
Existe un programa muy bueno que se llama NETVizor, 8lo puedes encontrar en el Emule ejej y en Softonic)
Con este programa puedes hacer de todo, desde controlar que PC o usuario entra en una carpeta, hasta que escribe en el teclado, con esto creo que puedes tener al usuario ese pillado por los webs je je.
Con este programa puedes hacer de todo, desde controlar que PC o usuario entra en una carpeta, hasta que escribe en el teclado, con esto creo que puedes tener al usuario ese pillado por los webs je je.
Respuesta de gnovaro
1
Primero tener un registro con log de usuarios en el server
Otra cosa, ponerle al usuario mailicioso un keylogger (que se pueda ocultar programa que guarda un archivo de texto con todo lo que se tipea, algunos sacan printscreen y envían por mail) bloqueale en la maquina de el todo acceso al registro de sistema y a la linea de commandos pone contraseña a todas las maquinas y en caso de inactividad por 15' se bloqueen y pidan pass es lo que te puedo decir también te covendria conseguirte un programa para ver sniffing en la red y bloqueale el permiso de instalar archivos solo dale permiso de ejecución a las aplicaciones que usa. Espero que te sirva encontré un prigamra que puede ser útil el Cain no se si funciona nunca lo probé pero parece completo
Otra cosa, ponerle al usuario mailicioso un keylogger (que se pueda ocultar programa que guarda un archivo de texto con todo lo que se tipea, algunos sacan printscreen y envían por mail) bloqueale en la maquina de el todo acceso al registro de sistema y a la linea de commandos pone contraseña a todas las maquinas y en caso de inactividad por 15' se bloqueen y pidan pass es lo que te puedo decir también te covendria conseguirte un programa para ver sniffing en la red y bloqueale el permiso de instalar archivos solo dale permiso de ejecución a las aplicaciones que usa. Espero que te sirva encontré un prigamra que puede ser útil el Cain no se si funciona nunca lo probé pero parece completo
Respuesta de pseglar
1
Siento no poder ayudarte demasiado pero mi campo es el de las redes, más que el de los S.O.
Seguramente sabrás más que yo en este aspecto.
De todas formas, hagas lo que hagas, si el usuario es listo, existen CD autoarrancables que descifran las contraseñas de administrador, por lo que aunque las restricciones por políticas serán necesarias, para este usuario puede que no sean efectivas.
Si te es posible, conecta al usuario en una Vlan diferente (configurando esto en los switch) de manera que darás acceso desde esa Vlan únicamente a los servicios que el usuario necesite realmente.
Por último, en los servidores, activa el registro de conexiones correctas en los firewalls de los servidores importantes (hasta el firewall de windows es capaz de hacerlo), y dale un tamaño amplio a los logs. De esta manera, en el momento que se cargue algo, siempre quedará la huella.
Otra medida, aunque ilegal en cuanto a derechos de intimidad, es meter un keylogger en el hacker, de manera que se registre todo lo que vaya tecleando, aunque si lo hace mediante ventanas, los clicks de ratón no quedan registrados.
Seguramente sabrás más que yo en este aspecto.
De todas formas, hagas lo que hagas, si el usuario es listo, existen CD autoarrancables que descifran las contraseñas de administrador, por lo que aunque las restricciones por políticas serán necesarias, para este usuario puede que no sean efectivas.
Si te es posible, conecta al usuario en una Vlan diferente (configurando esto en los switch) de manera que darás acceso desde esa Vlan únicamente a los servicios que el usuario necesite realmente.
Por último, en los servidores, activa el registro de conexiones correctas en los firewalls de los servidores importantes (hasta el firewall de windows es capaz de hacerlo), y dale un tamaño amplio a los logs. De esta manera, en el momento que se cargue algo, siempre quedará la huella.
Otra medida, aunque ilegal en cuanto a derechos de intimidad, es meter un keylogger en el hacker, de manera que se registre todo lo que vaya tecleando, aunque si lo hace mediante ventanas, los clicks de ratón no quedan registrados.
Respuesta de shadowman205
1
Yo me encargo de dar asesoría en gobierno en mi localidad y se de que hablas ahora mira yo usualmente administro y monitoreo desde los cisco pero en tu caso puedes utilizar spylog como iopus que es un programa que lo instalar en las pc que quieres checar y guarda un registro de todo lo que hace o escribe ya sea msn correo a que hora entra a que cosa cuanto duro que hizo que teclas aplasto incluso puede guardar imágenes pero existe un detalle la version de 2006 de norton lo detecta como virus espía que de echo si es un espía pero de virus no tiene nada lo único es que la primera vez que norton lo rechaze tu le digas que lo permita siempre
Ahora la otra opción si tienes los discos en mirror estas salvado, sino usa un soft que se llama second copy que lo que hace es que tu programas a que hora respalda y específicamente que quieres que respalde, incluso si alguien sigue trabajando se espera hasta que los archivos estén libres para respaldar
mi msn y correo [email protected]
Igual si quieres los programas te los puedo pasar solo dime un correo con capacidad para recibirlos
Ahora la otra opción si tienes los discos en mirror estas salvado, sino usa un soft que se llama second copy que lo que hace es que tu programas a que hora respalda y específicamente que quieres que respalde, incluso si alguien sigue trabajando se espera hasta que los archivos estén libres para respaldar
mi msn y correo [email protected]
Igual si quieres los programas te los puedo pasar solo dime un correo con capacidad para recibirlos
Respuesta de obedmendez
1
Disculpa la tardanza hay muchos programas en Internet que pueden vigilar y más aun grabar en formato de video lo que hace un usuario, son como espías de teclas. Intenta buscar en Google algo como Spy keyboard.
Respuesta de cm2gj
1
Si tienes un server windows 2000 o windows 2003 puedes habilitar la auditoria.
Sin embargo, creo que no están ustedes configurando bien los permisos.
Lo que deben hacer es:
Quitar todas las cuentas locales de la pc del usuario, cambiar la contraseña de administrador de su maquina.
En el servidor, en el activbe directory, cambiar los permisos de la cuenta del usuario para el dominio y restringirlo solo a power user.
Sin embargo, creo que no están ustedes configurando bien los permisos.
Lo que deben hacer es:
Quitar todas las cuentas locales de la pc del usuario, cambiar la contraseña de administrador de su maquina.
En el servidor, en el activbe directory, cambiar los permisos de la cuenta del usuario para el dominio y restringirlo solo a power user.
Respuesta de jocumer
1
Estaba leyendo tu nota, en el lugar en donde laboro también me han tocado personas de ese tipo, y los e parado un poco con diversas acciones, un de ellas es restringiendoles el internet (IE url) de esa manera navega o sale a donde yo quiera, la otra es a través de las plantillas de seguridad (Gpedit. Msc) le doy derechos locales, para que haga o no haga algo, en alguna ocasión usaba el ITrust de ca que aparte de ser antivirus te permite bloquear extensiones conocidas (mp3, pif, etc), aparte utilice un device look esto es para cerrar el paso si quiere instalar algo desde una memoria usb, en cuanto al monitoreo hay algunos software en el mercado, en lo particular no los he utilizado espero que alguno de los compañeros de Todo, te pueda ayudar más a fondo en esto.