joshwang wrote:

我對暴力破解AD 架構下的GPO有興趣,請問哪裡可以學到這種技術?...(恕刪)
請定期參加每年舉辦的 BlackHat 黑帽駭客大會(今年美國場是 7 月底, 已經過期了, 不過 11 月在阿布達比還有一場; 明年會在巴塞隆納和拉斯維加斯舉辦), 您可以在與會期間, 身上掛個牌子, 上面寫:「I need to crack AD GPO」, 站在會場入口處, 遲早會有人主動跟你討論這個事情...

9 年前我在美國參加時, 中午同桌吃飯的, 我右邊是美國國安局的網路攻擊部主任, 左邊是 FBI 幹員, 同桌還有其他來自韓國, 日本的網路防禦部門; 參加實戰課程也需要有一定的實力, 第一天走進課程教室, 第一件事就是要求你破解自己桌上的那台上課用 NB, 入侵成功之後才可以繼續上課 (如果連上課用的 NB 都破不了, 那課也不用上了)....

(提示: 別忘了, AD GPO 還是要由 Client 端電腦來執行的....只要用戶端有硬碟可以放資料, 就有很多方法可以用)
~~ 新願資本-臺醫壹號創投基金-普通合夥人 ~~
我記得不用導入AD,用本機的群組原則就可以了
這樣不用錢,而且還蠻快的
ithome那邊應該有方法
不過重點是使用者不能有root權限(廢話,整台電腦使用權都給別人,還限什麼...

我也是不讚成用獎金的制度,這樣會造成辦公室很容易有摩擦
看大家討論的這麼複雜

拿個塑膠片打洞在裝上不就的了

像是醬


藍色的是usb孔

紅色的是網路孔

像醬把塑膠片放進去就好啦

完全不傷主機板又便宜

連設定都免了






好像網路孔畫反了

請見諒
美國國安局的文件,說明如何停用 USB Storage,對我而言夠用了,您參考看看吧:
http://www.nsa.gov/ia/_files/factsheets/I731-002R-2007.pdf

如果用的是 XP 的話,%systemroot%\Inf 底下有其他 USB 開頭的檔案,應可如法炮製。

BTW, 回去看你的文章,你們買 AxxS 的電腦,我們公司也是,但是我打算建議 MIS 不要再買他們的,因為這個年代的電腦還在用沒有 Active PFC,效率 70% 沒有 80PLUS 的電源供應器,價格也沒比其他家便宜,念在環保省電的份上,可以選擇其他的電腦大廠,或是購買之前問一問,效率高低,在該台電腦使用年限可以差到兩三千元的電費喔,電腦數量一多那個金額也很可觀。
raytracy wrote:
9 年前我在美國參加時, 中午同桌吃飯的, 我右邊是美國國安局的網路攻擊部主任, 左邊是 FBI 幹員,...(恕刪)


大大能坐到這種位置,想必來頭也不小。台灣的國安局需要您!
joshwang wrote:
台灣的國安局需要您!,...(恕刪)
不, 它們不需要我......我 19 年前就在跟軍方做生意, 很清楚政府機構要的是什麼....
~~ 新願資本-臺醫壹號創投基金-普通合夥人 ~~
建議使用Device lock(USB/光碟/磁碟/僅可讀取不可寫入)

我們公司都是用這個

電腦都必須登入公司網域

只要登入,就會檢查有沒有安裝Device lock

沒有就馬上安裝,安裝完成後才可以登入網域.

公司所有系統都必須登入網域才可使用

資料完全無法寫入到任何可以儲存的裝置

E-mail每封寄出都會進行備份(不管內部與外部郵件), 定期稽核室會抽查

E-mail發出內容若與工作無關, 申誡一次, ex: 發E-mail問其他部門人員聚餐----->與工作無關

Wen
記得有一種設備

有點類似電子感應門的

只要電子設備過去了 就會壞掉...


不知道這種東西適不適合用 XD
貓老闆
本機原則、群組原則、登錄檔等去鎖定USB,要生效的前提是一般的職員使用電腦是沒有管理者權限
而這個在於很多公司是無法實行,很多使用者會跳腳
這個就要MIS好好地跟主管溝通,發行正式命令,再來限制使用者權限只有"users"的權限,連安裝軟體都不行,開分享也不行~
同時也就可以透過本機原則、本機登錄黨、USBSTORY.*的讀取權限、AD群組原則等途徑進行封鎖

再者,還可以透過新的企業版防毒軟體統一控制封鎖
像是Symantec Endpoint Protection V11、Sophos、OfficeSCAN、....等都有對應的端點保護的機制
ds11411 wrote:
建議使用Device...(恕刪)

這個狠喔
不過要在架AD
還要經過上頭同意

發mail是有備份
但是不會規定的這麼嚴~
感謝您的建議
文章分享
評分
評分
複製連結

今日熱門文章 網友點擊推薦!