Как предотвратить загрузку с live носителей?

Question

[danykeep]

Собственно дыра в безопасности большинства организаций: загрузка с live носителя. На практике оказалось недостаточным установки пароля на BIOS, поскольку некоторые из них автоматически выставляют подключаемые устройства первыми при загрузке.
Есть ли какой-нибудь унифицированный способ защиты, кроме как ковыряния в каждом BIOS?

Answer 1

[Сергей Ковалёв]

Без ковыряния BIOS на ПК не обойтись, к сожалению.
В выборе устройств загрузки укажите конкретное устройство с которого нужно грузиться.
В дополнительных параметрах отключите возможность загрузки с USB/PCI/LAN устройств.
Пароль на BIOS, опечатывание системного блока, как "гарантия" от вскрытия и сброса путем замыкания контактов.

Comments

[danykeep]

Дельно.

Answer 2

[Владимир Мартьянов]

Физическое закрытие USB-портов и отключение CD-ROMов.

Comments

[danykeep]

Физически отключены те USB-порты, которые не находятся непосредственно на материнской плате. На корпусе стационарного компьютера они обычно расположены спереди или по бокам. До быстрого и легкого способа закрыть порты, которые расположены сзади пока не додумались. Есть предложения?

Оптические приводы уже изъяты из корпуса. Но ведь есть приводы, подключаемые по тому же USB.

[Владимир Мартьянов]

improoviz: www.connectworld.net/syscon/usb_security.html например

[danykeep]

Владимир Мартьянов: Вот это уже по существу. Надеюсь получится найти нормального поставщика, с которым можно будет решить вопрос документально.

[Владимир Мартьянов]

improoviz: Я более чем уверен что такая задача у кого-то возникала на территории вашей страны и были поставки с документами.

Answer 3

[mace-ftl]

Обалдеть, коллеги - да метод минимизации этого риска это ШИФРОВАНИЕ диска тупо. Кстати он также перекрывает риск "унесут диск", раз у Вашего злоумышленника уже есть физический доступ к ПК

Comments

[Hitmanp]

Если же требуется защита не от похищения или доступа информации? А защита от "школоты", котороя может используя флешку на борту с акронис диск директор - форматнуть весь диск.

[danykeep]

Да, идеально было бы сюблюсти три условия: целостность сохранность и доступность. Но можно использовать вдобавок к предложению Сергея Ковалёва (выше).

[mace-ftl]

Заливаете юсб-порты эпоксидкой и ставите отдельно один ПК на котором они открыты. Доступ к флешкам по сети.

[danykeep]

mace-ftl: Нанести вред оборудованию? Не то.

[mace-ftl]

improoviz: зависит от стоимости ущерба от рисков - тупо сравниваете и всё

Answer 4

[DrLabRus]

Всё сильно зависит от требований/бюджета.
Например, существует вот такое(и с сертификатами от кого надо и с соответствующей ценой в том числе): Аппаратный модуль доверенной загрузки (АМДЗ)