Hej,
Att svartlista kan, som påpekats tidigare, vara lätt eller svårt beroende på hur många tjänster det rör sig om och vilka endpoints respektive tjänst har. Blir nog extra lurigt att urskilja trafiken då tjänsterna är passiva -- plus att Windows är väldigt pratigt i sig själv.
Försök ringa in:
- Källportar (sannolikt random) - Målportar - Protokoll (mja ...) - Måladresser (DNS/IP) - Processer
På serversidan: Undersök med nmap, dns-loggar. Blockera med iptables. På klientsidan: Windows egna "Resource Monitor" (visualiserar faktiskt väldigt bra vilka processer som har aktiva nätverksanslutningar), wireshark. Blockera med Windows Firewall eller annat alternativ (har inga tips).
Ett andra angreppssätt vore kanske att istället skapa en vitlista.
På serversidan: Blockera allt, tillåt port 53, 80 och 443 bör räcka ganska långt. Risken finns förstås att tvivelaktig trafik tunnlas därigenom men det kan du potentiellt motverka genom att kombinera med en lista på tillåtna domäner. På klientsidan: Blockera allt och tillåt specifika program).
En tredje metod är att dual- eller live-boota ett isolerat operativsystem via USB (eller PXE). Om större delen av arbetet sker i webbläsaren/"molnet" bör det fungera ganska bra. Med lite konfiguration kan du även göra innhållet på USB-stickan persistent samt montera Windowsenheten för åtkomst av filer lagrade på disken.
T
2015-12-03 12:53 GMT+01:00 Non Return Zero non.return.zero@gmail.com:
En del saker är ju lite asymmetriska. Jag har knappast rätt att få ansluta min dator till kommunens nätverk och än mindre att använda förbindelsen för något ospecificerat ändamål. Men en elevdator som eleverna får och som de uppmuntras att använda i skolarbetet via Google Apps for education m.m. ska jag minsann inte "oroa" mig för. Att en skola eller IT-avdelning kan ges tekniska möjligheter för att t.ex. använda Web-kameran för att spionera på elever har också förmodligen redan hänt (se tex http://www.csmonitor.com/USA/Justice/2010/0817/Did-school-use-laptops-to-spy... ).
Men om jag nu inte "oroar" mig utan bara har som policy att inte låta okända maskiner verka okontrollerat på mitt nätverk. Är det någon som har tips på lämpliga brandväggsregler som kan förhindra t.ex. fjärrstyrning av en elevdator (Windows OS)? (Elevdatorn ansluter till en egen router med IP-tables/OpenWRT).
Borde policyn mer innefatta mer punkter än fjärrstyrning? Vad i så fall?
nrz