Может ли администратор домена видеть домашний комп, удаленно подключенный по VPn? В смысле отображение рабочего стола?

если у тебя установлены и работают службы удаленного администрирования и нет фаервола - то да...

но у меня другой вопрос - зачем домашний комп вводить в домен?

вопрос не зачем, а может ли подсматривать удаленный работодатель за домашним компом

(0) если комп введен в домен, то админ его может поставить то что хочет и смотреть то что хочет

(3)
ну вот я просто подключаюсь, но ничего специально никуда не вводил. Можно ли при такой схеме удаленно подсматривать?

(4) комп твой ? никакие специальные программы тебе не ставили?

если нет - то никто кроме спец хакеров не сможет видеть...

(4) нет, не парься

(0) теневое подключение к сессии пользователя ?

(0) Представь, ты с ноутом в офис пришел и вифи подключил, много что увидел админ? Вместо офиса может быть мак, или метро...

(7) про рдп вроде ни слова

(8) т.е. мой трафик он может посмотреть?

(10) Ессно.

Если впн для людей сделан, то тебе маршрутизация с впн-сервера и пушится. Да еще и днс в впн весь заворачивается, чтобы все обращения внутрь прозрачно работали. В результате все твои загрузки с порнхаба могут проходить через доброго админа, пушо надо делиться.
Ну и вдогонку еще сертификат левый тебе придется установить чтобы впн собсно и работал.

А ты как хотел в мире корпораций?

(11) У ВПНа  свой интерфейс, не весь трафик туда идет.

(10) сильно зависит от реализации. Если приличный vpn-клиент, хотя бы shrew или cisco, то там создаётся отдельный виртуальный сетевой интерфейс и при установке соединения таблица маршрутизации перестраивается так, что только конторская сеть идёт через него, а остальное как было. В более примитивных случаях, например при использовании виндового pptp и l2tp, vpn-интерфейс может вставать основным и весь трафик, в том числе инетовский, пойдет через контору, если самостоятельно не менять маршруты.

Думаю, что нормальным админам нафиг не надо через свои мощности тягать трафик телекоммьютеров, который не относится к работе, так что скорее всего используется грамотная настройка клиентов.

Удаленный личный комп никто в домен вводить не будет, мне кажется. При вводе в домен винда достаточно серьезно перестраивается, плюс нужна corporate версия, а на компе, особенно если это ноут, вполне может быть home. Кому это надо? Другое дело выданный конторой ноут для командировок, вот там - да.

(12) Уиии, мой любимый мир розовых е... всезнающих 1Сников в тепличных условия лабораторок 11 класса.

Вот представь себе, что в сети предприятия есть подсеть 10.х.х.х, внутри которой находится Очень Важный SQL Сервер. Внутри сети предприятия маршрутизация настроена идеально, все очень прозрачно и эффективно.
Программист Вася Пупкин хочет работать с этим сервером удаленно из барбершопа, попивая смузи. Он только что доказал анониму на форуме, что выставлять RDP в интернет это зло и
сейчас требует организовать себе Удаленный Доступ через VPN. Админы предприятия проникаются Важностью Процесса, устанавливают и настраивают ему какой-нибудь энтерпрайзный AnyConnect.
И тут внезапно барбершоп предательски выдает Васе на wifi интерфейс адрес той же
подсети 10.х.х.х.

Ваши предложения?

Сменить барбершоп Васисуалий  не может - образ, понимаешь, и всетакое, окружение не оценит.

(16) О! Знакомая тема.
Админил отельчик небольшой. Приехали такие же ребята. Грозно смотрели и топали ножками.
Объяснил, что ради них сеть отеля перестраивать не буду.
Выход был такой: их телефоны подключаются к нашей сети, а дальше по кабелю раздают инет на ноуты =)

Решение может быть не элегантное и модным посетителям барбершопов будет западло подключать мобилу к ноуту проводом, но как говорится "вам шашечки или ехать?"

и не стоит путать:
компьютер можно подключить к домену,чтобы он видел сетевве шары и т.п.
компьютер можно сделать частью домена,когда все управление идет через контроллер домена-в этом случае-все разрешения и аудит идут через еонтроллер домена,и еомпьютером можно удаленно управлять,при этом,еонечно,прямого просмотра экрана как бы неи,но можно удаленно запустить граббер экрана и смотреть,что там происходит.

у подключения через удаленный доступ,через который подключается vpn,есть галочка использовать как стандартный шлюз.

(17) Вот это как раз решение со стороны барбершопа (:

А когда таких барбершопов становится много, суровые ынтерпрайзные админы просто пушат с впн сервера маршрутизацию, заворачивающую все локальные подсети, которые 10... 192.168 и 176... внутрь к себе в впн. Попутно заворочивают туда же и днс, чтобы разрешить имена типа jira.local и уйти от зоопарка методов опеределения приорететов днс в разных операционках. Разрешенные имена ессно не попадают в диапазон локальных подсетей и идут на интерфейсы, смотрящие в интернет.

А попутно у безопасников появляется возможность завернуть разыменование того же порнохаба на свой айпи, прогнать трафик через себя и посмотреть каких цыпочек Васисуалий предпочитает работе с Очень Важным SQL Сервером.

И все. Как было правильно замечено - "вам шашечки или ехать"

(0) Нет, не может.

(0) Поднимай виртуалку для работы.

(16) Это все понятно.

Но главный вопрос был в том, сможет ли админ видеть то что происходит на удаленном компе? Залезть на винт, посмотреть рабочий стол.

Обычно при удаленном подключении в российской действительности бывает так.
1) VPN соединение типа "Parallels" или еще что-то, к сети предпрятия.
   Затем RDP подключение к терминальному серверу внутри предприятия для таких удаленщиков и работа их уже там с сетью предприятия.
   Также может быть RDP подключение напрямую к рабочему компу сотрудника в его кабинете в офисе

2) Тупо подключение RDP к терминальному серверу внутри предприятия. Без всяких VPN.

Но обычно в итоге всегда есть RDP подключение в копу в офисной сети.

Может ли админ иметь доступ к данным клиента RDP, учитывая что на сервере RDP машины админ царь и бог ?

странно что никто не задался вопросом - а на хрена админу это надо?

(0) Да забейте! Это порно админ уже десяток раз видел.

(24) Может там новое с веб-камеры?
Технически не вижу проблемы даже камеру перепрошить (чтобы "лампочка" не загоралась) удаленно админу грамотному если комп загнан в домен и отдельно внешний файрвол не настроен блочить ему доступ.

(24) так там же речь про халтурки.

(0) ставь виртуальный PC и подключайся к VPN с него, так еще можно на разных VPN одновременно сидеть и локальному интернет трафику это не помешает...

(25) а зря не видишь. Она аппаратно может быть присобачена параллельно питанию модуля камеры, и тогда перепрошивка лампочки в нерабочее состояние будет автоматически переводить в оное и камеру :))

(19) нифига такого не происходит...
реальная маршрутиризация идет не по IP а по макам, по этому какая таблица у тебя в локальном кеше так и пойдет маршрутиризация...

то есть при совпадении IP у тебя банально не поднимится впн, и у тебя виртуальный интерфейс будет вообще без ИП, а точнее его назначит локальный комп, что-то вроде 192.168.70.99 или подобное.

(29) Ты, дядь Дим, при всем уважении - прочитал одно, вообразил себе другое, поспорил внутри себя с третьим и написал сюда четвертое.

(22) https://habr.com/ru/company/pc-administrator/blog/342428/

(28) Это не так, потому что камера по usb определяется и питание на нее идет а светодиод не горит, странно да?
Там стандартные чипы юзаются и прошивка за led отвечает практически в 99.9% случаев обычных веб-камер.

(30) поясняю своими словами

1. физически подключение одно
2. при этом сначало происходит авторизация и после авторизации комп начинает получать все широковещательные пакеты
3. при этом комп по широковещательным пакетам ищет адрес WINS сервера, если он найден идет запрос и получение IP
4. после получения IP комп локально записывает в локальную базу DNS маршрутиризации маршрут до WINS сервера и шлюза, этот маршрут строится через мак адрес сетевого интерфейса физического соединения
5. далее начинается процесс vpn соединения, через физическое соединение устанавливается конетк с vpn сервером и получаем от туда настройки
6. на клиенте создается виртуальный сетевой интерфейс и к нему применяются сетевые настройки, при этом IP этого виртуального интерфейса нельзя назначить таким-же как и у физического, и даже из одного пула нельзя, попытка присвоения одинаковой маски подсети двум интерфейсам без дополнительной настройки локалной маршрутиризации вызовет ошибку (и интерфейсу будет переназначен IP и соединение перестанет работать)

ну как-то так в кратце....

(33) +
ну еще есть тема с тегированием vlan ов, но она для компа не актуальна, это только для роутеров... и вот там действительно возможны пересекающиеся маски подсети

(33) надо поменять буковки на арп дхцп маска

(34) Если админ может стукнуться по ip на комп юзера и этот комп заведен в домен то упс.
Можно (31)

(35) ага :)

(0) а к чему вообще вопрос? Я админ, и если очень надо, то может.... но вот как ответили уже ни раз, а надо ли? Если только админу лет 25 и он хочет сказать какой он крутой и показать что видит что ты делаешь, то поверь не интересно.... а базы и так защитит. Ну если нормальный

(32) то что питание идет на саму плату камеры (на устройство) - еще не означает что оно идет на сам модуль камеры, который физически осуществляет съемку. Мне думается, что индикатор подключен именно в цепь питания этого модуля, и аппаратно он не отключается. Если есть ссылки что кто-то реально отключил без паяльника при том что камера не утратила своих функций - ну, интересно было бы ознакомиться. А иначе это из области городских легенд...

* и программно он не отключается читать

(39) (40) https://xakep.ru/2013/12/19/61789/

Там прикол что нет никакого отключения питания модуля камеры.
Устройство при старте должно проверить модуль камеры чтобы убедиться что он исправен и при этом ничего не загорается.
Иначе бы веб-камера при включении компа или подключении при проверке зажигала бы светодиод если питание было в одной цепи с модулем камеры.

(16) Изучи для начала что такое VPN

(42) Каким образом изучить что такое VPN поможет обойти проблему пересекающихся разных подсетей?

(43) iptables

(44) тоже буковки, айпитаблес правильно пишется как ipv6

(43) в принцепе пересечение подсетей возможно только в рамках выделеного vlan-a (за счет тегирования трафика номером vlana) или на уровне ниже tc/ip, для обычного домашнего компа такое практически не возможно

(41) это печально, что так реализовали.

(44) Каким образом поможет iptables на windows машине имеющей два интерфейса (один физический и второй виртуальный от vpn) и получив на оба ip из одной подсетки?

(46)(48)+ Ну можно маршрутами конечно разрулить это дело, чтобы VPN пакеты не пошли в саму себя а отправлялись правильно по статике не физический.
Но это не просто подключился к VPN и все.

Можно наоборот дефолтный шлюз не трогать и оставить на физическом а маршруты до подсетки рабочей прописать на виртуальный vpn статикой, исключив дефолтный шлюз в них.

(49) *по статике на физический

(49) Если прописать маршруты то все ip внутри сетки провайдера будут недоступны, но благо там обычно только адрес шлюза нужен для доступа в инет и он известен.

А фактически пора переходить на ipv6 и не мучать уже старичка ipv4.
Там все эти проблемы исключены изначально.

Даже VPN становится ненужным, просто достаточно прописать адреса/маки с которых разрешен трафик и шлюз рабочий выставить инет напрямую.
Тогда по ipv6 рабочий комп через дефолтный шлюз без всякого VPN и прочих NAT будет иметь доступ куда надо.

(49) после этого vpn тунель перестанет работать

единственный способ загнать весь трафик внутрь vpn это настроить 2 паралельных маршрута в инет и игратся приоритетами их применения.

не знаю могут-ли такое всякие впн клиенты, но это точно не дефолтные настройки

(52)+ В смысле удаленный комп с ipv6 доступом полноценным от любого провайдера легко найдет любой ip адрес v6

(53) Я написал что сделать чтобы не перестал работать, статику прописать но главное чтобы внутренний адрес сервера VPN   (не внешний для инета) и адрес шлюза у провайдера на физике не совпали.
Тут болт.

(55)+ Ну и по vpn будет недоступен тот адрес в рабочей сетке который совпал с адресом шлюза провайдера

(53) Да, конечно, маршрутизация не дефолтная

(13)Ты сам определяешь использовать тебе IP роутера к которому ты цепанулся по VPN либо нет.. даже по PPTP..

https://help.keenetic.com/hc/article_attachments/115010013185/35803ccf-7282-4116-a936-b2e4cedc784b.jpg

(0)Запусти на ноуте вирт.машину и с нее подключайся)