2 anx:Если в порядке брюзжания
, то, ИМХО, такие вопросы лучше бы задавать на специализированных сисадминских форумах (правда не исключено, что оттуда Вас могли "послать" из странно понимаемой "корпоративной солидарности" с Вашим админом). Если же я (или кто ещё) будет устраивать развёрнутый ликбез по подобным вопросам, то, боюсь, это скоро выйдет мне боком - местные модераторы могут "поставить на вид" за "полу-офф"...
Если же придерживаться лапидарного стиля, то
http://www.securitylab.ru/forum/forum18/topic1274/messages/#message0В Вашем случае вполне достаточно остановить службы Server и Remote Registry, плюс, как справедливо заметил Н.Н., прикрыться файерволом (BTW, вполне хватит и штатного виндового, только скажите ему "без исключений", а то в эти исключения разные проги постоянно норовят добавить себе лазейку). Никаких спец.прог в таком акцепте больше не нужно. Ну ещё нужно будет глянуть где покрутить, чтобы локальные политики не перебивались доменными (извините, ссылку не дам, за давностью не помню, куда с этим лазят).
Наконец, довольно сильно затруднён доступ к системе, если она находится за NAT (т.е. за маршрутизатором). Чтобы не ставить роутер между компом и сетью, можно просто перевести систему на виртуальную машину. Заодно это можно использовать для повышения защищённости системы как от вторжения, так и от иных факторов, ведущих к потере данных - вирт.машину удобно бэкапить, перемещать между хостами, транспортировать и запускать на других компах. Расположив её в криптоконтейнере, можно не бояться скомпрометировать данные, которыми она оперирует, при попадании диска в чужие руки (особенно это касается win-систем, зачастую оставляющих чувствительную инфу где ни попадя) - это в большинстве случаев сделать проще, чем использование FDE.
В тоже время он не хочет выводить компьютер из домена для облегчения своей жизни.
А почему бы и не вывести? Тем самым он автоматом выйдет из под действия доменных политик, по умолчанию имеющих приоритет над локальными. При "закрывании" компа от сетевого доступа извне он (комп) может использовать ресурсы домена, не будучи его членом - достаточно, чтобы у хозяина компа был аккаунт в домене: при первом доступе к сетевым ресурсам учётные данные просто запоминаются системой перманентно (есть там такая галочка). Тут, кстати, снова рулит вирт.система в контейнере или FDE - сохранённые данные учётки не будут скомпрометированы.
//Правда, судя по Вашей информации, Вас и хозяина компа не слишком беспокоит потенциальная возможность физической компрометации защищаемой системы, однако в ином случае вышеупомянутые меры сетевой защиты разумно было бы сочетать с защитой физической...//
В общем, если уж защищаться, так защищаться - тут можно навернуть разные варианты (ну да, в чём то сделав работу с системой менее простой по сравнению с обычной by default, но оставаясь в рамках разумного усложнения, не ведущего к полной невозможности что-либо сделать).
От себя добавлю, что, поскольку Вы спрашиваете об этом, то напрашивается вывод, что сие знание не входит в обычный круг Ваших навыков и умений. Следовательно, любая инфа по этому вопросу может оказаться для Вас не совсем понятной или исчерпывающей. Отсюда возникает ощущение, что более правильным было бы поручить "изоляцию" того компа приглашённому со стороны сисадмину (естественно, пользующемуся доверием со стороны обсуждаемой VIP).
2 Igor Michailov:Достойная реакция на отквоченное... Смеялсо...
