当我的 Windows 主机 PC 被添加到公司 AD 域中时,如何保护它?

当我的 Windows 主机 PC 被添加到公司 AD 域中时,如何保护它?

我有一台装有 Avast Free Antivirus 和默认 Windows 防火墙的 Windows 7 PC。我需要将我的 PC 注册到我的工作域中才能使用网络资源。但我认为这就像将我的电脑的钥匙交给系统管理员一样。他可能知道:

  • 我的电脑里有什么(操作系统、软件、文件、文档等……)
  • 我访问哪些网站

简而言之,...我认为将我的电脑放在工作域中就像在后台安装 TeamViewer 一样,系统管理员可以做任何他们想做的事情。

我知道这不完全正确。但我正在寻找尽可能保护我隐私的方法;

  • 我应该创建一个专用于工作的新 Windows 帐户吗?
  • 我应该为该帐户设置特定的防火墙规则吗?
  • 我应该使用 Tor 之类的代理吗?
  • ETC ...
  • 我能做什么 ?

答案1

嗯... 看来你有些误解了(我相信这些误解可能很常见)。让我提供一些澄清细节。

拥有相关知识是件好事,比如知道技术能力是什么。知道某些选择的优点和缺点是什么也是件好事。因此,了解使用支持使用 Active Directory 安全模型的 Microsoft Windows 变体的影响是件好事。

我知道这不完全正确。但我正在寻找尽可能保护我隐私的方法;

事实上...这是真的。

当您的计算机连接到网络(包括连接到 VPN)时,他通常可以远程访问您的 C:

如果您的计算机可以通过 IP 地址 192.0.2.150 访问,那么他可以访问 \192.0.2.150\c$ 并查看 C: 上的所有内容

他可能知道:我的电脑里有什么(操作系统、软件、文件、文档等……)

至于

我访问哪些网站

您甚至不需要在 Active Directory 域中。如果您的计算机使用他们的网络发送流量,他可以检查传出流量的 IP 目的地。如果您使用 VPN 让流量通过网络,您甚至不需要在现场。(请注意,某些 VPN 配置让所有网络流量都通过 VPN,而有些则不会。因此,当您远程时,并非所有 VPN 都会产生这种效果。此外,至少某些 VPN 软件可能会从路由器下载一些配置信息;这些都与您是否属于 Active Directory 域无关。)

一个完全不同的方法是,如果您的计算机使用他们的 DNS 服务器,他可以看到您发出的 DNS 查询。同样,这些都与您是否属于 Active Directory 域无关。

这是否通常使用 Windows 内置软件来实现可能是另一回事,但这种能力肯定存在。(他可能需要获取额外的软件,或使用某些设备内置的功能。)

更糟糕的是,网络管理员可能能够看到您“安全”的网页浏览会话的内容。如果您在 Active Directory 域中,则网络管理员可以让您的计算机遵循某些“策略”,包括安装 HTTPS 证书。这将使 HTTPS 代理能够对“安全”的 Web 流量执行 MITM 监视,并且您的计算机将信任结果,因为您的计算机将信任 HTTPS Web 代理的 HTTPS 证书。

与我上面提到的其他一些“威胁”不同,这种威胁实际上相当常见。(设备制造商并没有将此功能宣传为“MITM 攻击”。他们将该功能宣传为“HTTPS 代理”和/或“深度数据包检测”(“DPI”)功能。)

当您的计算机安装在 Active Directory 域上时,这意味着您的计算机将信任 Active Directory 域控制器的安全判断。这允许您的计算机轻松使用存储在 Active Directory 域控制器上的 Windows 帐户。这还包括您的计算机检查域控制器以获取您的计算机将遵守的更新的组策略设置。使用组策略,可以安装其他软件。这可以包括常见的商业系统监控软件。这绝对包括安装键盘记录软件的能力。(希望这种做法不太常见,但这种能力肯定存在。)

简而言之:

  • 如果您想要一台能够抵御外界使用的计算机,请考虑一个经过严格强化的操作系统 - OpenBSD 可能是一个不错的选择。
  • 如果您想要一台被广泛认为易于使用的计算机,那么这就是许多人青睐使用 Microsoft Windows 的关键原因。
  • 如果您想要一台能够与公司网络很好地集成的计算机,包括让公司的技术支持能够对计算机进行修改,那么请让计算机加入 Active Directory 域。

公司政策可能要求您使用第三种选择。公司是否有这样的政策要求您遵守,这超出了技术能力讨论的范围。您应该给予公司这样的访问权限。不管情况是否如此,这个答案的第一段仍然是正确的。

我应该创建一个专用于工作的新 Windows 帐户吗?

不行。“域计算机”(已“加入域”的计算机)将信任“域控制器”(用于帮助提供网络安全的“服务器”计算机的名称)。域管理员只需使用计算机信任的帐户即可。

我应该为该帐户设置特定的防火墙规则吗?

不推荐。你可能不够聪明,无法应对可能用于进入计算机的所有类型的网络流量。而且,即使你足够聪明,一方面说“我信任公司网络”(当计算机加入域时),另一方面说“我不信任公司网络”(当你使用防火墙试图破坏很多东西时),这也太精神分裂了。

如果计算机表现得像一个真正的域成员,那么网络管理员可以控制内置 Windows 防火墙的某些方面。

我应该使用 Tor 之类的代理吗?

无效。这可能有助于在网络流量离开网卡时对其进行加密。但这无法阻止域计算机运行网络管理员允许域计算机运行的某些软件。

请注意,我并不是说您不应该使用 Tor。我只是说您应该知道 Tor 的作用,不要误以为它的作用不同。Tor 旨在保护网络流量的内容。Tor 并非旨在保护授权管理员不看到计算机上正在运行的软件或该软件的功能。如果您想防范这种功能,我只是说 Tor 是无效的,无法提供任何针对该功能的保护。

等等...我该怎么办?

您可以按照自己所做的方式进行操作:提出问题并获取相关信息。简而言之,保护隐私的解决方案是不要将计算机加入 Active Directory 域。如果您需要将计算机加入 Active Directory 域才能执行某些操作(例如访问文件),则可以使用另一台计算机(未加入 Active Directory 域)执行更“私密”的活动。

(即使你使用自己的设备,也要知道网络运营商可以看到一些信息,比如知道你连接到哪些互联网网站。如果你使用公司的网络,这意味着公司的网络运营商可以看到这些信息。如果你的设备使用直接与无线电话公司的发射塔通信的方法,那么无线电话公司就有这种能力。顺便说一句,互联网是一个巨大的计算机网络网络。检查/记录有关你的网络流量的一些详细信息(如目标 IP 地址)的能力可以由网络运营商来完成任何计算机网络最终会参与到你的互联网通信中,而不一定只是第一跳。

我有一台装有 Avast Free Antivirus 和默认 Windows 防火墙的 Windows 7 PC。

要知道,大多数反病毒公司都希望他们的产品能够很好地销售给运营公司网络的人。因此,反病毒公司通常会允许网络管理员有权查看你要求保密的内容。这是因为允许网络运营商拥有此类访问权限的软件通常是合法的已授权因此防病毒软件可能会允许此类软件不受干扰地执行任务。当防病毒软件确实错误地开始阻止此类任务时,它们会迅速收到大量网络管理员的投诉,他们声称防病毒软件正在破坏关键功能,因此防病毒软件制造商会迅速采取行动修复该“错误”。

相关内容