Staffcop удалить агент с компьютера

Обновлено: 22.01.2025

Контроль за деятельностью сотрудников за компьютерами на рабочем месте — обычная практика во многих компаниях. И не всегда даже дело в том, что начальник службы безопасности в в детстве тайно грезил о форме СС. По своему опыту могу сказать, что многие сисадмины по умолчанию доверяют рядовым пользователям не больше, чем обезьяне со связкой гранат на центральном пульте управления атомной электростанцией.

Однако, мой рассказ будет не с точки зрения наёмного сотрудника, а «с обратной стороны зеркала», потому как, вне зависимости от персональной этической желания требования определённых руководителей не только наблюдать за сотрудниками в рабочее время на рабочих местах, но и видеть «их глазами» то, что видят они на своих мониторах, — факт остаётся фактом: речь идёт о масштабах спроса достаточных для возникновения на рынке корпоративного ПО целого сегмента софта для надзора за работниками, и программа StaffCop — лишь одна из нескольких доступных заинтересованному покупателю альтернатив.

Программа существует в нескольких конфигурациях — StaffCop Standard, ориентированная на корпоративных пользователей (компании, ВУЗы, школы), домашняя версия StaffCop Home Edition и самый мощный набор Security Curator. Я протестировал «золотую середину» — StaffCop Standard. Для тестов был использован нетбук следующей конфигурации:

Начало

Первое, что сразу бросается в глаза – программа предназначена для корпоративного использования. Это, в первую очередь, видно по интерфейсу, ориентированному на профессиональных пользователей — рядовой юзер вряд ли с ходу разберётся во всех его тонкостях. StaffCop Standard работает по сети, что также видно уже при первом запуске.

Главное окно панели администрирования

Внизу панели администрирования расположены вкладки и первая из них «Экран».

Снятие скриншотов с экрана и просмотр активности пользователя в реальном времени

Здесь вы можете в режиме реального времени следить за любым пользователем:

«Ваша карта бита!»

Следующая возможность, которую мне посчастливилось опробовать – мониторинг процессов на удалённом компьютере. Она расположена на вкладке «Процессы».

Сразу бросается в глаза группировка приложений по типам:

Группировка программ

— и я готов был бы даже похвалить эту функцию, если бы не зашёл в настройки и не обнаружил, что определение приложения и группировка идёт по списку имён процессов (skype.exe, soffice.bin). Соответственно, в список можно добавить любое приложение, а-ля wow.exe и внести в список «Интернет-приложения». А тем более, если игра защищена от снятия скриншотов, то на её запуск никто и не обратит внимания (особенно, если слежением занимается не системный администратор, а непосредственный начальник).

Полезной дополнительной функцией здесь можно выделить возможность удалённого завершения процесса.

Списки имён исполняемых файлов

Клавиатурный перехватчик (keylogger)

Keylogger тоже входит в набор функций Standard-версии. По своей сути, это потенциально-опасная возможность, ведь недобросовестный сотрудник может использовать её, как и всю программу, для шпионажа за нами. Но наша цель благородна – не допустить утечку конфиденциальных данных. И эта часть программы успешно справляется со своей задачей. Есть возможность посмотреть, какие горячие клавиши нажимал пользователь:

Встроенный кейлоггер

Помимо этого программа способна запоминать данные, внесённые в буфер обмена. Опять же фича достаточно полезная – с её помощью можно выяснить, что копирует пользователь. Возможно, он нарушает правила корпоративной системы безопасности и копирует пароли, чтобы вручную не печатать или же, этот злосчастный пользователь распространяет коммерческие тайны конкурентам.

Содержимое буфера обмена

Помимо всех вкусностей, о которых я уже писал выше, программа способна вести запись событий файловой системы и создавать отчёт использования USB-устройств компьютера.

Запись событий файловой системы

Соответственно, всегда можно посмотреть, кто и во сколько принёс троянскую программу, что положила всю сеть предприятия.

«Кто там флешку вставил?»

А ещё меня очень порадовала система генерации отчётов, которая поддерживает импорт отчёта в HTML, PDF, CSV. При подробном режиме в HTML отображается диаграмма, которая показывает, сколько времени было отдано активности того или иного окна. Это позволяет быстро проанализировать занятость пользователя. Так, например, всегда можно обнаружить, если пользователь проводит 70% рабочего времени с открытой «Косынкой».

Диаграмма активности пользователя

Другие плюшки

Помимо всего вышеперечисленного разработчики заявляют ещё и теневое копирование файлов, попадающих в буфер обмена (когда юзер что-то копирует или вырезает), отправляемых на печать (теневая копия сохраняется в виде изображения), а также файлы, отправляемые в социальные сети: фотографии, музыка, видео.

Безопасность

Изучая программу, я обнаружил две уязвимости, позволяющих заблокировать её работу — первая касается доступа к настройкам антивируса, вторая — 64-битные системы.

Во-первых, Kaspersky Internet Security 2012 позволяет добавить основные модули в группу «Недоверенные» в контроле программ, и StaffCop перестаёт запускаться. Хотя в гостевом доступе, под которым сидят практически все офисные сотрудники в крупных компаниях, сделать ничего не получится, — иметь в виду это нужно.

Запрет от антивируса

Вторая уязвимость связана с возможностью её обнаружения в 64-битных системах. В скрытом режиме работы система должна быть максимально спрятана от пользователя ПК, чтобы было сложно определить, что за компьютером ведётся мониторинг, в процессах её обнаружить нельзя. Но в 64-битных системах полностью спрятать её не получится, поэтому её можно обнаружить и отключить в службах, и запретить автоматический запуск. Таким образом можно заблокировать StaffCop: он перестаёт передавать какие-либо данные на сервер, при этом определяясь «в сети», то есть, как будто какая-то ошибка связи между компьютером и сервером.

Убитая служба приложения

Впрочем, Windows x64, в корпоративном сегменте практически не распространены, а в 32-битных системах процессы StaffCop обнаружить нельзя, поэтому уязвимость это весьма условная. Отсюда вывод: админский доступ к компьютеру и контроль за его пользователем — несовместимы. Впрочем, это итак должно было быть понятно.

Другие версии

Для дома есть более дешёвая Home-версия, позиционируемая как родительский контроль. От Standard-версии она отличается возможностью установки лишь на 1 ПК и, соответственно, невозможностью использования функций управления по локальной сети. В остальном же она повторяет все функции старшей версии.

Кроме того, есть более «продвинутая» версия приложения, позволяющая более подробно вести аудит персонала — Security Curator. В ней отключена возможность скрытой работы и пользователи знают, что за ними следят, и добавлены такие полезные функции, как, к примеру, мониторинг активности FTP, уведомления о нарушении политики по SMS, блокировка подключения USB-устройств и блокировка запуска приложений.

Конкуренты

Основные конкуренты приложения: LanAgent Standard, который предоставляет практически те же функции по чуть более высокой цене, а также Mipko Personal Monitor, который, в отличие от вышеуказанных программ имеет поддержку Mac OS X.

Изучая тему, я нашёл комментарий по теме на Хабре (пунктуация и орфография автора сохранены):

LanAgent — ужас ужас ужас — ставится тяжко удаляется еще тяжелее. Кроме того иногда грузит систему как рендеринг Аватара… Хотя отчеты вроде бы даже и ничего. Mipko — этот ужас не умеет нормально удаленно устанавливаться. StaffCop — ставится просто — но толи у меня что то не так — толи в самой программе — но наблюдать компьютеры в консоли — нереально — они то пропадают — то исчезают.

По гамбургскому счёту

не полностью реализованная поддержка 64-битных систем

Конечно, подобные программы не панацея от безответственности или злого умысла. StaffСop Standard способен лишь указать источник утечки. Предотвратить её он не может. В конечном итоге, самое важное — грамотно выстроенные процессы и управление кадрами. Тогда работодатель сможет быть спокоен за корпоративную тайну и занятия сотрудников в рабочее время. А StaffСop нужен, чтобы подтвердить его уверенность.

Помимо обычных кейлоггеров, перехватывающих клавиатурный ввод, вы можете столкнуться и с более комплексными решениями, контролирующими вашу активность за компьютером. Если за вами следит ревнивый супруг – едва ли стоит ожидать особо изощрённых методов, если речь не идёт о суровом айтишнике. Другое дело, если речь идёт о контроле персонала на рабочем месте.

Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет COVERT. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.

Итак, вы пришли на новое место работы, вас ознакомили с правилами внутреннего распорядка компании, и никаких уведомлений о проводящемся наблюдении вы не получали. Либо в какой-то момент вы стали понимать, что конфиденциальная информация (корпоративная или личная) попадает не в те руки.

Прежде всего, нужно локализовать шпиона в системе.

1) Как обнаружить на своём компьютере StaffCop.
Откройте программу COVERT. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.

После завершения этой операции перейдите в раздел «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys

Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».

3) Временно отключаем агента StaffCop.
Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу».

После произведённых действий в программе человека, контролирующего ваши действия, ваш компьютер будет выглядеть как выключенный, а вы на своём компьютере сможете делать всё, что угодно, не опасаясь слежки.

Для того, чтобы восстановить мониторинг, нажмите кнопку «Все службы», выберите пункт с именем файла службы sstray.exe (sstray64.exe), кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Изменить задачи служб», и далее – «Пуск».

После запуска службы программа контроля, установленная у босса, снова начнёт получать информацию с вашего компьютера, и в списке отслеживаемых компьютеров ваш компьютер станет активным.

Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, затем перейдите в «Процессы системы», нажав одноименную кнопку в окне программы. Выберите пункт с именем файла LTVSrv.exe, кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Добавить в базу завершения процессов». Теперь нажмите кнопку «Сохранить» в базе «Завершения процессов». Имя файла сохранится, и при следующем заходе в это окно процесс будет блокироваться автоматически. Не закрывайте окно «Процессы системы» в течение всего сеанса работы в платформе. Можете спустить окно вниз, нажав на кнопку «Свернуть» в верхней части окна.

Программа COVERT будет блокировать это процесс, и тем самым не даст собирать и передавать информацию с вашего компьютера. Но на компьютере вашего босса будет видно, что вы находитесь в сети и не производите никаких действий, хотя на самом деле вы сможете делать что захотите. Чтобы завершить работу в платформе защиты COVERT и снова стать видимым для вашего начальника, нажмите кнопку «Выход» в главном окне программы. Блокируемый процесс восстановиться автоматически.

StaffCop — это программа слежения за пользователями компьютеров в локальной сети, продукт обеспечивает удаленный контроль, сбор информации и формирует детализированные отчеты о действиях наблюдаемого. Шпион производит запись посещенных сайтов, переписки в мессенджерах. Сохраняет снимки рабочего стола, и все, что было отображено на экране.

Как спрятаться от программы комплексного наблюдения на примере StaffCop

Разумеется, применение такого рода наблюдения за персоналом - совершенно оправданно: нас нанимают для работы, а не для общения в соцсетях и занятий посторонними делами в интернете, а корпоративные секреты должны быть гарантированно защищены. Однако в некоторых случаях вам могут понадобиться определённые меры по защите личного пространства. Если вы, устраиваясь на новое место работы, были оповещены об осуществляемом контроле и ознакомлены с правилами внутреннего распорядка, то защита вашей личной информации становится вопросом вашей ответственности и разумности.

Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет Mask S.W.B. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.

Прежде всего, нужно локализовать шпиона в системе.

1) Как обнаружить на своём компьютере агента StaffCop.

Откройте программу маскировщик. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.

Просмотрите все соединения в этом режиме. (Желтый цвет говорит о том, что приложение находятся в режиме ожидания, красный — приложение есть в «Базе угроз»). Если увидите среди них имя процесса sstray.exe (sstray64.exe) или LTVSrv.exe, то можно с уверенностью сказать, что за вами ведется наблюдение с помощью программы активной слежки StaffCop.

Итак, программа-шпион обнаружена, теперь вы знаете наверняка, что за вами наблюдают. Если вы хотите скрыть результаты своих действий, не пряча самих действий - вам достаточно просто зайти в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, - и этого будет достаточно. Наблюдающий за вами будет видеть, что вы чем-то заняты, но не будет знать, чем именно. Если же вы хотите выйти из-под наблюдения абсолютно - читайте дальше.

2) Удаляем агента StaffCop.

В отрывшемся окне вы увидите файлы, которые есть в базе угроз, они будут выделены красным цветом. Нажмите правой кнопкой мыши на строку с именем файла sstray.exe (sstray64.exe) и LTVSrv.exe в контекстном меню выберите пункт «Изменить задачи служб», далее - «Удалить».

Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».

После выполнения всех действий перезагрузите компьютер и проверьте снова окно «Службы системы» (Активные службы) и «Драйверный монитор» (Активные драйвера): пунктов, выделенных красным цветом, не должно быть. Если всё зелёное - вы избавились от агента StaffCop.

3) Временно отключаем агента StaffCop.

Зайдите в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу».

4) Скрываем свои действия от программы StaffCop, не отключая наблюдение за собой.

Здравствуйте! Меня зовут Роман Франк, я являюсь специалистом в области информационной безопасности. Еще недавно я работал в крупной компании в отделе безопасности (техническая защита). У меня было 2 проблемы: не было нормальных современных технических средств защиты и денег на безопасность в бюджете. Зато у меня было свободное время на изучение программных решений, об одном из них — StaffCop Enterprise — я хочу сегодня подробно рассказать.

Опыт мне показал, что 90% времени, которое я тратил на выявление и расследование утечек информации самостоятельно, с программой решается за несколько минут. Я настолько углубился в технические детали решения, что в итоге уволился из той компании и теперь работаю в StaffCop на позиции специалиста технической поддержки.

Давайте разберемся со StaffCop Enterprise

StaffCop Enterprise – система мониторинга действий сотрудников с функционалом DLP.

обеспечивать информационную безопасность в компании (обнаруживает утечки информации и расследует инциденты);
контролировать действия сотрудников (ведет учет рабочего времени, оценивает продуктивность сотрудников, проводит поведенческий анализ, ведет мониторинг бизнес-процессов);
вести удаленное администрирование (администрирование рабочих мест, инвентаризация компьютеров).

На мой взгляд, ощутимое преимущество – отсутствие необходимости закрываться в локальной сети с невозможностью работы через интернет. Поскольку сейчас сложно говорить о периметре ИБ (в любой компании есть удаленные филиалы или сотрудники на фрилансе), шлюзовые решения не такие гибкие и, зачастую, требуют наличия агента на рабочей станции пользователя.

С этой задачей полного контроля рабочих станций за пределами локальной сети StaffCop легко справляется. Стек технологий, используемых при разработке, позволяет системе быть менее требовательной к ресурсам и легко интегрироваться с другими системами, а разработчикам – при необходимости дорабатывать функционал. Также, в ближайшее время будет выпущен дистрибутив с сертификатом ФСТЭК, который подойдет для защиты объектов, где нужен 4 класс защиты и ниже. Всё это позволяет системе быть выгодной, надежной и полезной разным специалистам.

Начнем с самого главного. Чем система StaffCop может облегчить жизнь безопаснику? Разберем основные головные боли человека, чья задача не допустить взрыва пороховых бочек. Пороховой бочкой может стать информация ограниченного доступа, которая стала известна за пределами компании. Соответственно, главная забота – чтобы не ушло. А, если ушло, то, как найти злоумышленника и покарать.

Контроль конфиденциальной информации

Staffcop контролирует все основные каналы передачи информации с пользовательских ПК на Windows. Linux агент стремится в том же направлении, но пока есть необходимость в сетевом мониторинге.

Поиск потенциальных утечек

Организационные меры хороши ровно до тех пор, пока они выполняются, в остальных же случаях, технические меры защиты — необходимость.

Закрытие дыр

Не всегда пассивные меры защиты являются дешевой заменой активных средств защиты. В нашем случае Staffcop является активным средством защиты и позволяет контролировать и закрывать некоторые каналы утечек информации.

Расследование инцидентов

При расследовании инцидентов очень важна доказательная база. Staffcop позволяет хранить историю обо всех событиях, которые совершались пользователем во время мониторинга.

Читайте также: