Dieman666, ну хз хз, на мой взгляд любой сотрудник который раньше когда-либо работал админом может на физическом компе жмякнуть "свойства ПК" и увидеть что физический комп не в домене, а в workgroup. Потом сложить 2+2 и понять что VDI-удаленка на его домашнем ПК работает абсолютно по такому же принципу как и в офисе, поставить ратник и уволиться. Учитывая что рат-билдеры найти и протестировать не так уж и сложно то... ¯\_(ツ)_/¯
А монитроить по камерам каждый день кто вскрывал корпусы и менял комплектующие слишком муторно, точно также как и ставить пломбы на корпуса (компы с тонкими клиентами ломаются и периодически приходится их чинить, так что насчет пломбы нуууу не знаю)
Да, во многом ты прав, спасибо! 802.1X, kiosk mode и пароль BIOS норм идея)
1. Локальная учетка /kiosk без пароля - все-таки пользовательская как никак, скорее всего у злоумышленника не хватит прав поставить вредоносное ПО т.к. доступа к локальной админской учетке на физическом компе у него нет, а вот заменить офисный ssd на свой персональный (на котором сотрудник-злоумышленник уже сам настроит себе админскую учетку и вредонос - на мой взгляд более реально)
2. авторизация же на уровне Horizon/AD - если у злоумышленника будет ратник, то он может в рабочее время бахнуть экран-заглушку на физическом типа "Обновление винды, ждите полчаса" для нового сотрудника, а сам при этом удаленно управлять физическим компом и запущенным Horizon Client тоже (ведь новый сотрудник до этого залогинился в Horzion Client и зашел на виртуальное рабочее место)
3. Kiosk mode действительно надо сделать, спасибо) сейчас это просто локальная учетка с именем kiosk и отключенным проводником, так что сотрудник при запуске компа видит черный экран и спустя пару секунд запускается Horzion Client через автозагрузку. Проблема еще в том что через диспетчер задач без проблем можно запустить проводник через создание новой задачи "explorer.exe" в диспетчере задач )))
check197, да так и сделал, только роутер с кастомной прошивкой openwrt был и уже установленными сервисами через DoH, DoT, stubby и прочее и они днс мне ломали, прошил на ванильную openwrt и всё ништяк
Без STP главное не зависнуть случайно в петле)))) Давно когда-то был случай как уборщица увидела неподключенный кабель, воткнула его в роутер (чтоб не втыкал), ну и бац куча флапов и весь офис пошел чай с печеньками пить на следующие полчаса))
agpecam, а окей понял
С GCORE кстати все равно классно решение в рамках вашего кейса, вы натолкнули меня на идею создания цепочки впн-прокси в будущем, мне кажется это интересным
спасибо добрый человек, арендовал у них сервак - задержки до Японской vps 33мс!!
если не затруднит, можешь подсказать - давно пользуешься их сервисом, все ок, проблем не было? я просто до этого читал отзывы на их хостинг, много отрицательных, мол аккаунты с услугами блокируют периодически без объяснения причин
agpecam, спасибо! Поясните пожалуйста что такое cscalp, в гугле нашел только что это терминал для крипто-биржи.
Правильно понял, что вы предлагаете арендовать vps у российского хостинга (edgecenter), поставить на него прокси и уже через него подключаться к забугорной vps, мол через их дата-центры задержкм до азиатских vps не должно быть?
спасибо, проверяю через loking glass, но чет у всех провайдеров задержки до 350мс в среднем. видимо распространённая проблема
мб поспрашиваю у друзей которые пользуются платными впн, попробовать подключиться к японскому/корейскому серваку и посмотреть задержки до их сервера, если их нет - то смотреть что это за провайдер
В офисе примерно 70 ПК и у каждого такая багулина время от времени происходит, пока нужен костыль чтобы не стопорить рабочие процессы, а потом уже можно и причину искать и устранять её
Вероятно там что-то с принт-сервером
hint000, к сожалению не помогло, когда переключил галочку то попросило залогиниться в планировщике задач, при попытке залогиниться от имени пользователя вылезает "Планировщик заданий не может применить сделанные изменения. Неизвестная учетная запись пользователя, неправильный пароль, либо у данной учетной записи пользователя нет разрешения на изменение этой задачи".
Когда залогинился под админской учеткой, изменения приняло галочка "выполнять для всех пользователей" стоит, но по-прежнему "отказано в доступе"
C:\Users\Senko.A>schtasks /run /tn RestartSpooler
ОШИБКА: Отказано в доступе.
UPD: В общем как выяснилось можно дать права пользователю на выполнение определенной службы по его SID:
поэтому оказалось проще просто выдать права юзеру на запуск и остановку Spooler + сделать для него батник
