Как предоставить ноутбук и защитить информацию от копирования?

Question

[Hint]

Хотим нанять сотрудника в другом городе, предоставить ему рабочую станцию, но при этом защитить информацию на этом устройстве от копирования (само устройство будет находиться в полном распоряжении сотрудника). Необходимо зашифровать диски, запретить подключение внешних устройств, разрешить выход в сеть только через сервер компании (где будет разрешен доступ только к определенным IP). Возможно ли подобное? С помощью каких средств можно реализовать (в том числе платных)? ОС значения не имеет, так как ПО кроссплатформенное.
Если говорить про тот же шлюз для выхода в интернет, то должна быть исключена возможность подмены сервера с помощью манипуляций с маршрутизацией.

Comments

[Толстый Лорри]

Если не секрет, зачем вам это нужно?

Answer 1

[Johnny Gat]

в полном распоряжении сотрудника

Никак.

Comments

[Hint]

Почему? С точки зрения логики проблем не вижу, вопрос только в наличии готовых решений. Наличием потенциальных уязвимостей ОС на повышение привилегий можно пренебречь.

[Johnny Gat]

Hint: Я уже ответил, потому что "нарушитель" имеет полный доступ к устройству.
Я могу вытащить жесткий диск и побайтово скопировать его содержимое на другой машине, могу поставить снифер между вашим ноутбуком и сервером перехватывая весь трафик, могу фотографировать экран и распознавать с фотографий текст. Вы не понимаете что значит ПОЛНЫЙ доступ?

[ТыжСисАдмин]

Hint: Всё ваше "С точки зрения логики", рушится об банальные 3 мегапикселя у самого паршивого телефона.

[Hint]

Алексей POS_troi: Да, вы правы, но в нашем случае этим можно пренебречь. От таких видов копирования задача защититься не стоит.

[Павел]

а еще не забываем про MITM

[Hint]

Павел: Шифрование и доверенные сертификаты

[Дмитрий Крымцев]

Сотрудник может загрузится с Live-образа и слить всю вашу информацию себе.

[Hint]

Дмитрий Крымцев: Даже стандартный bitlocker от этого защитит

[younghacker]

Hint: Тогда ключ нужно хранить в железном TPM.
Но если копирование с экрана не проблема то чем Вас терминальник не устраивает? Зато Вы получаете полный контроль активности. И потеря устройства ни Вам ни сотруднику не страшна. Иначе Вы не поверите ему что компьютер у него украли или отобрали.

Answer 2

[Антон Уланов]

Подпишите с сотрудником NDA или как так называется документик, по сути о не разглашении. и будет вам счастье, а заподозрите в утечке в суд да и дело с концом

Comments

[Hint]

NDA само собой, но этого недостаточно (практически невозможно что-либо доказать в случае утечки)

[Антон Уланов]

так а вам ни кто и не даст 100% работающее решение. Другое дело что вы себя по части закона защитите. да и NDA без ввода системы DLP в сети организации деньги на ветер

[Антон Уланов]

Почитайте про DLP решения они есть как opensource так и за $

[toukouva]

>> а заподозрите в утечке в суд да и дело с концом

Одного подозрения недостаточно. Нужны доказательства. Если вы на меня подадите в суд на основании "подозрений", я тут же подам встречный иск о защите деловой репутации. Причем вред моей репутации будет очевидный (доказать легко), а как вы будете доказывать свои подозрения - непонятно.

[Антон Уланов]

toukouva: вы наверное ни разу не судились в РФ

Answer 3

[toukouva]

Технически - никак.

Единственный грамотный путь - подбирать людей, дорожащих своей репутацией и имеющих высокий уровень профессиональной этики. Единственное, что, многие из таких людей не пойдут в вашу шарагу, если и она не не обладает настолько же безупречной репутацией. Берегите честь смолоду, как говорят.

Answer 4

[CityCat4]

Нет.

Хотя Вы не уточнили - от копирования или от утечки? Утечка организуется банальным переписыванием на бумажку :) Ее чисто теоретически можно предотвратить, только используя СМП с функцией мониторинга через веб-камеру ноута, да и то она будет бесполезна при отсутствии инета.
Копирование - то есть создание на некоем носителе копии файла с сохранением его структуры, чтобы с ним удобнее было работать - тоже возможно. Даже при всех мыслимых наворотах. Административных прав не будет? Так берем hiren, бутимся с CD, сшибаем пароль локального админа, повышаем привилегии - без использования уязвимостей! Получив права, можем отключить любых гардов, прописать любое устройство в доверенные. Можем вообще сделать тупую копию винта средствами, для этого предназначенными - акронис например. И уже с копией винта разбираться сколько угодно.
Да, СМП постфактом может оповестить о копировании - когда ноут выйдет в инет, если буфер не переполнится. Но факт утечки он предотвратить не сможет, особенно если это не БД, а какая-нибудь фотка :)

Полный доступ - это полный доступ. Тем и опасны всяческие "облачные" провайдеры - и они это прекрасно знают и потому так и стараются заполучить Ваши данные...

Comments

[Максим Гришин]

Hiren не увидит раздел, зашифрованный битлокером, если пароль зашит в какой-нибудь трудно выкорчевываемой UEFI с настроенным SecureBoot. Но принцип правильный. В идеале - никак не запретить, если устройство передается в пользование.

[CityCat4]

Максим Гришин: Если ценность представляет форма организации информации, а не сама она - например БД с тысячей клиентов с телефонами и обьемами, ценная не столько самими телефонами, как тем, что все это вместе - то можно, да, затруднить копирование, если же ценность представляет именно сама информация - тут никак - ведь с ней еще и работать надо :) А есть еще категория информации, где сам факт наличия оной - уже вещь крайне любопытная для окружающих - например сделал один сотрудник фото одной сотрудницы без ничего...

Answer 5

[Rsa97]

Информацию, выведенную на экран, можно банально перенабрать, сфотографировать, записать на видео.

Comments

[Hint]

Да, вы правы, но в нашем случае этим можно пренебречь. От таких видов копирования задача защититься не стоит.

[Rsa97]

Hint: Тогда всё гораздо проще. Разверните систему у себя и дайте сотруднику удалённый доступ.

[Hint]

Rsa97: Необходим в том числе оффлайн доступ

[Rsa97]

Hint: Тогда практически никак. Если иметь полный физический доступ к компьютеру, то все защиты легко снимаются, достаточно получить административные права.

[Hint]

Rsa97: А если считать, что пользователь работает с ограниченными права и эскалация привилегий невозможна (уязвимости отсутствуют). Вполне разумное допущение.

[padlyuck]

Hint: уязвимости есть везде. вопрос только в том насколько ценна информация по отношению к стоимости времени необходимого на поиск уязвимости для получения прав доступа к этой информации.

[Stalker_RED]

Hint:

и эскалация привилегий невозможна (уязвимости отсутствуют). Вполне разумное допущение.

Снимаем полный образ, ждем когда уязвимость таки найдется. А уязвимости с эскалацией находят чуть ли не не каждом хак-контесте.

[Rsa97]

Hint: При полном доступе и эскалации не надо, достаточно сбросить пароль админа, что возможно и в *NIX, и в Windows.
Если будет зашифрованный винт, то либо пользователь знает пароль, либо пароль хранится в незашифрованной части, на отдельном аппаратном ключе или вычисляется на основании данных компьютера. В любом случае можно снять образ и расшифровать его.

[WayMax]

Stalker_RED: буквально сегодня на хабре всплыла новость про дыру в виндовом антивируснике через который можно получить права администратора

Answer 6

[other_letter]

Чтобы получить ответ на этот вопрос Вам придётся рассказать много больше:
1. Что именно защищаете
2. Модель нарушителя
...ибо защитить всё от кого угодно не выйдет. Даже если не нужно оффлайна, - можно вскрыть сниффером. Шифруете? ОК, есть админ. Админ слепоглухонемой и верит в бога? ОК, есть уборщица, которая оставит камеру в админской. Нет уборщицы? ОК, есть спецслужбы, которые внедрят микромикрокамеру...

Всегда будет некий предел, который преодолевать невыгодно. Который отделяет вашу модель нарушителя от бесконечности. И этот предел зависит от п.1 - что защищаете.

Так что и от кого хотите защитить?

Comments

[WayMax]

Модель нарушителя? Да у автора "нарушитель" уже сидит за ПК и имеет ПОЛНЫЙ доступ к нему.

[other_letter]

WayMax: не говорите за автора. Даже если это и так, то это наверняка не единственный нарушитель.

[WayMax]

other_letter: Вы тему то почитайте, автор уже все сам за себя сказал. С тем что нанимаемый работник не единственная угроза согласен.

[other_letter]

WayMax: В текущей постановке вопроса задача невыполнима, верно. Но я намекаю автору на способ, как отделись мух от котлет. Кто его знает от кого он на самом деле хочет защититься.

Answer 7

[res2001]

Зачем набирать людей желающих слить инфу и свалить? От такого сотрудника никакие технические средства не спасут, когда он получит доступ к информации.

Но если сотрудник лояльный, а вы защищаетесь от непреднамеренного слива или похищения информации сторонними лицами то кое-что можно предпринять:
1.Подписать документ о неразглашении.
2.Установить и настроить: систему защиты от НСД, DLP, фаервол, антивирус.
3.Централизованно собирать и мониторить логи.
4.Тотальное шифрование всех дисков, в т.ч. загрузочных.
5.Пломбировка корпуса и отсека для диска.
6.Усиленная авторизация: токены, смарт-карты и т.п.
7.Достойная зарплата сотруднику за мучения в ходе выполнения своих служебных обязанностей.
8.Запрет выхода в интернет.

Comments

[res2001]

И у пользователя не должно быть администраторских прав, конечно же.

[CityCat4]

В принципе чеклист для автора вышел неплохой :) Чтобы сразу задуматься - а стоит ли эта информация того?

[res2001]

К выше перечисленному я бы еще добавил:
Пользователь должен знать под роспись обо всех средствах защиты, работающих на его ноуте, ему нужно объяснить чем конкретно занимается тот или иной вид защитного ПО, от чего защищает.
Сотрудник должен дать согласие на удаленный контроль за его деятельностью.
С такими сотрудниками нужно регулярно проводить учебу и тестирование по информационной безопасности.

[Александр Слыжук]

Тут как всегда - борьба меча и щита, т.е. расчет рисков. Стоят ли средства, потраченные на безопасность, тех денег, которые может повлечь утечка информации.
Может и не стоит палить из пушки по воробьям?
А самое главное - ознакомить под роспись со всеми документами о не разглашении, коммерческой и служебной тайне, работе с компьютером/документами, приказы о информационной безопасности...

Answer 8

[fatalick]

Предоставьте терминальный доступ к своим ресурсам с соответствующими правилами безопасности. Хотя и в этом случае сотрудник может просто сфотографировать экран с интересующей информацией

Comments

[Hint]

Необходим в том числе оффлайн доступ

Answer 9

[Алекс]

Поддерживаю вариант с Windows Remote Desktop.
Но есть решения и для отдельного Ноута :
- Зашифровать Ноут можно и даже нужно - VeraCrypt в помощ, а также можно настроить аппаратный USB ключ (типа ruToken с ПИН кодом) чтобы человек не знал и не использовал пароль - а вставлял ключ и вводил ПИН для того чтобы ноут Загрузился. Ибо сложный пароль он запишет на бумажку.
- контроль устройств: платный софт - StaffCounter: заблокирует подключение других устройств, Блутуз, DVD, запретит загрузку ПО из интернета (и его Деинсталяцию в том числе) , отправку файлов в сеть в том числе LAN/FTP , и в общем будет следить за действиями пользователя, скриншоты и всякое такое.
- Насчет Сети пока не приходит в голову решение.

Answer 10

[Полина]

Установить круглосуточное видеонаблюдение за его рабочим местом и приставить охранника-наблюдателя.
Зачем предоставлять ему в полное распоряжение компьютер? Можно, чтобы он удалённо работал с ресурсами, которые физически в другом городе и ограничить ему права на копирование.

Answer 11

[Кирилл Маслов]

Я тоже голосну за доступ по рдп, если вы ему ноут предоставляете, то уж лучше предоставить слабый ноут и какой никакой мобильный интернет и рдп до рабочей станции, чем морочить голову над не реализуемой в принципе задачей. Я сам таким образом реализовывал доступ для нескольких сотрудников. (Правда я сам имею полный доступ и никакого NDA со мной никто не подписывал, но я человек порядочный и такого же работника вам желаю)