Хм ... Кажется, у вас есть некоторые недоразумения (которые, я считаю, могут быть довольно распространенными недоразумениями). Позвольте мне предложить некоторые уточняющие детали.
Хорошо иметь знания, например, знать технические возможности. Полезно знать, какими могут быть преимущества и недостатки определенных вариантов. Поэтому полезно знать, как влияет использование варианта Microsoft Windows, поддерживающего использование модели безопасности Active Directory.
Я знаю, что это не совсем так. Но я ищу способ ЗАЩИТИТЬ МОЮ КОНФИДЕНЦИАЛЬНОСТЬ в максимально возможной степени;
На самом деле ... это правда.
Когда ваш компьютер подключен к сети (в том числе при подключении к VPN), он, как правило, будет иметь удаленный доступ к вашему C:
Если ваш компьютер доступен по IP-адресу 192.0.2.150, он может посетить \192.0.2.150 \c $ и увидеть все на вашем C:
Он может знать: что у меня на компьютере (ОС, программное обеспечение, файлы, документы и т. Д ....)
Что касается
какие сайты я посещаю
Для этого вам даже не нужно находиться в домене Active Directory. Если ваш компьютер использует свою сеть для отправки трафика, он может проверить IP-адреса исходящего трафика. Если вы используете VPN для прохождения трафика через сеть, вам даже не нужно быть на месте. (Обратите внимание, что в некоторых конфигурациях VPN весь сетевой трафик проходит через VPN, а некоторые - нет. Таким образом, не все VPN вызывают такой эффект, когда вы находитесь на расстоянии. Кроме того, по крайней мере, некоторое программное обеспечение VPN может загружать некоторую информацию о конфигурации с маршрутизатора; это никак не связано с тем, являетесь ли вы частью домена Active Directory или нет.)
Совершенно другой подход заключается в том, что если ваш компьютер использует свой DNS-сервер, он может видеть, какие DNS-запросы вы делаете. Опять же, это не имеет отношения к тому, являетесь ли вы членом домена Active Directory или нет.
Обычно это делается с помощью программного обеспечения, встроенного в Windows, может быть другой историей, но такие возможности, безусловно, существуют. (Ему может понадобиться получить дополнительное программное обеспечение или использовать функциональность, встроенную в некоторое используемое оборудование.)
Это даже хуже, чем просто просмотр веб-сайтов, которые вы посещаете. Администратор сети может увидеть содержимое вашего "безопасного" сеанса просмотра веб-страниц. Если вы находитесь в домене Active Directory, то сетевой администратор может заставить ваш компьютер следовать определенным "политикам", включая установку сертификата HTTPS. Это позволит прокси-серверу HTTPS выполнять MITM-слежку за "безопасным" веб-трафиком, и ваш компьютер будет доверять результатам, потому что ваш компьютер будет доверять сертификату HTTPS веб-прокси HTTPS.
В отличие от некоторых других "угроз", о которых я упоминал выше, эта на самом деле довольно часто выполняется. (Производители устройств не рекламируют эту функцию как "атаку MITM". Они объявляют эту функцию как «HTTPS-прокси» и / или "глубокую проверку пакетов" ("DPI").)
Когда ваш компьютер установлен в домене Active Directory, это означает, что ваш компьютер будет доверять суждениям безопасности контроллера домена Active Directory. Это позволяет вашему компьютеру легко использовать учетную запись Windows, которая хранится на контроллере домена Active Directory. Это также включает ваш компьютер, проверяющий контроллер домена на предмет обновленных параметров групповой политики, которым ваш компьютер будет соответствовать. Используя групповую политику, можно установить дополнительное программное обеспечение. Это может включать в себя такие вещи, как обычное коммерческое программное обеспечение для мониторинга системы. Это включает в себя возможность установки программного обеспечения для регистрации клавиатуры. (Надеюсь, что это делается не так часто, но возможность определенно есть.)
Короче:
- если вам нужен компьютер, устойчивый к внешним воздействиям, подумайте о серьезно закаленной операционной системе - OpenBSD может быть хорошим выбором.
- Если вам нужен компьютер, который широко известен как простой в использовании, то это основная причина, по которой многие люди предпочитают использовать Microsoft Windows.
- Если вам нужен компьютер, который хорошо интегрируется с сетью компании, включая возможность технической поддержки компании вносить изменения в компьютер, подключите компьютер к домену Active Directory.
Политика компании может требовать, чтобы вы использовали этот третий вариант. Имеет ли компания такую политику, которой она требует от вас, выходит за рамки обсуждения технических возможностей. Возможно, вам следует предоставить компании такой доступ. Независимо от того, так ли это, первый параграф этого ответа остается верным.
я должен создать новую учетную запись Windows, специфичную для работы?
Не хорошо. "Доменный компьютер" (компьютер, который "присоединился к домену") будет доверять "контроллеру домена" (это имя используется для "серверного" компьютера, который помогает обеспечить безопасность в сети). Администратор домена может просто использовать учетные записи, которым компьютер будет доверять.
я должен установить определенные правила брандмауэра для этой учетной записи?
Не рекомендуется. Вы, вероятно, недостаточно умны, чтобы противостоять всем типам сетевого трафика, который может использоваться для проникновения в компьютер. И даже если бы вы были, было бы шизофренично говорить "Я доверяю сети компании", с одной стороны (когда компьютер присоединяется к домену), и "Я не доверяю сети компании", с другой стороны, где вы используйте брандмауэр, чтобы попытаться сломать много вещей.
Если компьютер действует как надлежащий член домена, то сетевой администратор может контролировать некоторые аспекты встроенного брандмауэра Windows.
я должен использовать прокси, как Tor чего-то еще?
Неэффективное. Это может помочь зашифровать сетевой трафик, когда он покидает вашу сетевую карту. Это не помешает на компьютере домена запустить какое-либо программное обеспечение, которое, по словам вашего сетевого администратора, может работать компьютер домена.
Обратите внимание, что я не говорю, что вы не должны использовать Tor. Я просто говорю, что вы должны точно знать, чего добивается Tor, и не иметь недопонимания, думая, что это совершает нечто иное. Tor предназначен для защиты содержимого сетевого трафика. Tor не предназначен для защиты авторизованного администратора от просмотра того, какое программное обеспечение работает на компьютере или что оно делает. Если вы хотите защитить от этой возможности, я просто говорю, что Tor будет неэффективен, и обеспечит какую-либо защиту от этого, в частности.
так далее ...
что я мог сделать ?
Вы можете делать именно то, что делали: задавать вопросы и получать образование. Короче говоря, решение для сохранения конфиденциальности состоит в том, чтобы не подключать компьютер к домену Active Directory. Если вам необходимо, чтобы компьютер был присоединен к домену Active Directory для выполнения определенных действий, например, для доступа к файлам, то используйте другой компьютер (который не присоединен к домену Active Directory), чтобы выполнять более "частные" действия.
(Даже если вы используете свое собственное устройство, знайте, что сетевые операторы могут видеть некоторые аспекты, например знать, к каким интернет-сайтам вы подключаетесь. Если вы используете сеть своей компании, это означает, что сетевой оператор компании может это видеть. Если ваше устройство использует метод прямой связи с вышками компании, производящей беспроводные телефоны, эта возможность будет предоставлена компании, производящей беспроводные телефоны. Кстати, Интернет представляет собой гигантскую сеть компьютерных сетей. Возможность проверять / регистрировать некоторые подробности о вашем сетевом трафике, например, IP-адрес назначения, - это то, что может делать оператор (ы) сети любой компьютерной сети, которая в конечном итоге участвует в работе вашего интернет-общения, а не просто первый прыжок.)
У меня Windows 7 ПК с Avast Free Antivirus и брандмауэром Windows по умолчанию.
Знайте, что большинство антивирусных компаний захотят, чтобы их продукт продавался людям, управляющим сетями компаний. Поэтому антивирусные компании обычно предоставляют сетевым администраторам доступ к таким вещам, как то, что вы просите, чтобы они оставались конфиденциальными. Это связано с тем, что программное обеспечение, которое позволяет сетевым операторам иметь такой доступ, является программным обеспечением, которое обычно является законно авторизованным, и, следовательно, антивирусное программное обеспечение, вероятно, позволяет такому программному обеспечению выполнять задачи без помех. Когда антивирусное программное обеспечение по ошибке начинает блокировать такие задачи, они быстро получают большое количество жалоб от сетевых администраторов, которые утверждают, что антивирусное программное обеспечение нарушает критическую функциональность, и поэтому производитель антивирусного программного обеспечения быстро работает над этим ». ошибка».
