Принципно е възможно да се откраднат такива сертификати и се чудя как още няма атаки в тази посока. Щом софтуерният cryptographic provider има достъп до частния ключ, принципно може да се напише софтуер, който да извлича частния ключ - кеф ти онлайн (при работеща ОС), кеф ти офлайн (само с наличен твърд диск или файлове, напр. registry). Или ако не да го извлича, поне да го ползва.
Уточнявам, че говоря за сертификати, чиито частни ключове са на компютъра, а не например на смарт-карти.
Друг е въпросът, че това не е слабост на Windows, а на всяко решение, което държи ключове в незащитена с независими механизми част от компютъра.

Трябва ти Sygate personal firewall pro примерно. Symantec ги прекупиха така че актуална версия няма да намериш, но последните останали 5.5 и 5.6 ще ти свършат страхотна работа :) Настрой го добре и му сложи защита с парола.
Спирането на сървиси не е решение, наприме при логване в домеина може да ти се зададе скрипт, който да ги стартира .........
Поздрави !

p.s Защо не мога да се регистрирам във форума с username което съдържа главни букви ?

Нека не го прави а ?
от всички съвети които получи най-разумен ми се струва: ако искаш да работиш нормално с този домейн, не върши глупости, а поговори с администратора/прекият си началник (ако нямаш вяра на админа)... ако сам си началник - използвай отделен компютър който сам да си администрираш (и тогава се възползвай от другите съвети за защитна стена и т.н.) и изчистете подробностите с гореспоменатият админ.

АД-то е дизайнато с идеята да има група Domain/Forest/Enterprise Admin който/които освен всичко останало да контролират нивото/нивата на достъп съгласно одобрена от менеджерите схема... на теория
Конкретно по въпроса: Как да се спася от сисадмин -- като сам (си) станеш сисадмин

Съдържаниет е скрито
Влезте за да го видите

То по дефиниция всеки сис админ има достъп до абсолютно всички ресурси в една мрежа и е въпрос на професионализъм и морал да не пипа там където не му е работа, аз лично не се сещам за сис админ дето да ти влиза в ПС-то щото си няма друга работа. Просто му кажи/ ако си шеф или имаш такава възможност му забрани да го прави и много силно се съмнявам да имаш повече проблеми.

дрън-дрън

аз нямам проблем с местния админ, нито го подозирам в нещо.
Просто самата идея някой да има възможност ми бърника из компютъра ме дразни. Домейна е огромен и международен и нямам представа какви птици се реят из него, нито колко са грамотни и дали може да им се има доверие - така че по добре никой да не може да пипа нищо.
Самия домейн е напълно безполезен от гледна точка на юзера, ако не се логна към него а локално пак мога да правя всичко. Изглежда се използва само за дразнещи простотии като напр. смяна ха хоум пейдж на ИЕ при всяко стартиране и подобни, а към хора които се занимават с простотии съм недоверчив - могат да ти навредят дори без да искат.

ако сисадмина си е свършил работата както трябва, това е нещо, което не би трябвало да те притеснява
ако някой има право да гледа/пипа нещо по РС то ти, най вероятно такава е политиката на този, който е определил/определя политиките на домейна (това при положение, че сисадмина ги е аплайнал, следвайки тези политики - което пак не е твой проблем)
Другояче казано - това не е твоето лично РС - ако се притесняваш за лични данни, не ги съхранявай там
Ако нечий достъп ти пречи да работиш, сподели го по йерархичен път с когото трябва
С риск да се повторя - ползвай РС то за каквото ти е дадено и се съобразявай с политиките , които се определят от този, който ти го е дал - за Работа...!

всичко друго директно заминава в категорията Флейм

направо се чудя на колегите за съветите, които ти дават...-май не са се замисляли за варианта да имат в работата си някой юзер като тебе...

П.С. не го приемай лично, но ако имам юзер като теб, просто ще предприема мерки, които със сигурност няма да му харесат
но които със сигурност ще са в съответствие с изискванията на работодателя, което ми плаща за това - няма да изпадам в истерии и да иззлобявам, просто ще приложа стриктно! фирмената политика - уверявам те че надали ще ти хареса...
Дори зареждането на определем ХоумПейдж е съобразено с някакви изисквания и политика на фирмата, които можеш да коригираш само ако си си работодател или сисадмин(в краен случай)- независимо дали ти изглеждат като простотия или не
.....
П.С.2
това второто обаче можеш да го приемеш лично - представи си ситуация, в която сисадмина, който ти е позволил този админ-акаунт, с всички произтичащи от това последици (нещо, което може да го издъни яко - като нарушение на фирмената политика), си отнесе административно наказание?!
И за чеп?
Ами защото теб, видите ли, не те кефи ХоумПейджа, който някой от големите босове е решил, че трябва да се стартира, щото там има актуална фирмена информация (която някой седи и набива вечер, за да могат такива като теб сутринта да я прочетат), или защото...
Абе има ли значение защо е решил така?!
Може пък днес да е станал с левия, вместо с десния крак от леглото...
Или с нещо друго...

Въпросът ми е: ти как ще се почувстваш в подобна ситуация (на мястото на въпросния сисадмин)?
И той как ще се почувства ако/като си го отнесе?
И в крайна сметка- кой от кого трябва да се спасява?
И знаеш ли... не зная дали съм добър /лош/зъл.... сисадмин
но аз нямам подобни проблеми с моите юзери
както и нямам проблемни юзери като тебе
все пак - дерзай...
пък каквото стане

П.С.3. - ти сисадмин ли си?
Началник ли си?
Имаш ли информация защо е дигнат този домейн и какви са глобалните му цели и предназначения?
Защото само ако имаш подобна информация, можеш да изказваш мнение че е безсмислен
В противен случай всичко е ... там, някъде отвъд- в сферата на предположенията

Guns don't kill people, lies kill people

Тани, нали знаеш, ние винаги сме лоши ;-)
Иначе проблема с такива потребители се решава много лесно - щом нямам достъп до машината му - не я поддържам, след като мисли, че може да се справи сам за какво съм му аз? ;-)
Обикновено си променят мнението при първата загуба на данни (разбирай при първия краш на машината, който рано или късно си докарват) ;-)

ако ставаше дума за нещо което ми е далечно и неясно, бих се съгласил с теб за всичко - на теория нещата стоят точно така.
Ама на практика е различно. И моя и служебния лаптоп ги използвам по равно за лични и служебни цели. Няма да взема да разнасям и двата, нали така? Много често в офиса бича по цял ден частпром, а вечер в къщи работя по служебни задачи.
Ако направя както според теб е редно и стриктно разделя нещата на лични и служебни, производителността ми ще спадне около два пъти. Така че подобно нещо, дори и да изглежда 'правилно', би било вредно и за фирмата, и за мен.

Естествено след като имам лични неща на компютъра, не е възможно неясни трети лица да имат какъвто и да било достъп до него. Откъде да знам например доколко е грамотен админа на домейна, който е някакъв непознат пич някъде на майната си? И дали паролата му не е залепена на стикерче на монитора?

>П.С. ..

и кой какво ще спечели? Като представител на сисадминското съсловие, сигурно смяташ че всички ограничения и полисита имат някакъв смисъл - ако не ти ясно точно какъв, значи имат дълбок скрит смисъл :)
На практика обаче в много от тях са напълно безсмислени, само пречат на работата на юзърите и ги дразнят.
Налагането на някакви стриктни! ограничения е напълно оправдано (дори задължително) за компютрите на чиновници в банки, секретарки и т.н., но да се прави безогледно и повсеместно е просто глупаво.

>П.С.2 ...

не бих направил нищо което би навредило на местния ми сисадмин или друг колега. Това което правя няма да му навреди, дори обратното. Нарушавам някои безсмислени ограничения не като самоцел, а просто защото ми пречат на работата. Ако не ми пречат ще работя по-добре, ще нося повече приходи, и съответно заплатата на сисадмина ще е по-голяма. Той като обслужващ административен персонал не генерира приходи, зависи от приходите които генерирам аз.

>П.С.3..

не съм сисадмин, нито началник. Въпреки че формално погледнато имам началник, на практика сам съм си началник.
Не знам защо е дигнат този домейн. Доколкото знам глобалните му цели са управление на лицензите за инсталирания софтуер в рамките на всички дружества на фирмата по света, т.е най-вече чисто информационни. Но нещата са се изчанчили в посока на упражнения по напълно безсмислено 'администриране' на какво ли не. До преди няколко месеца нямаше домейн, нямаше и ИТ проблеми. Сега сисадмина е като пчеличката Мая, непрекъснато оправя нещо при по-неграмотните юзъри.

Аз по принцип не съм много навътре с Windows AD, обаче все ми се върти из главата, че даден потребител бил той и локален админ на виндовс машината, НЕ може да прилага секюрити полисита, които да важат и за домейна. До колкото ми е известно, полиситата на домейна се прилагат още при стартиране на самата операционна система и едва ли могат да пъдат сменени след това от локалния админ. А дори и да могат съм убеден че може да се направи да не могат.