Как предоставить ноутбук и защитить информацию от копирования?

Хотим нанять сотрудника в другом городе, предоставить ему рабочую станцию, но при этом защитить информацию на этом устройстве от копирования (само устройство будет находиться в полном распоряжении сотрудника). Необходимо зашифровать диски, запретить подключение внешних устройств, разрешить выход в сеть только через сервер компании (где будет разрешен доступ только к определенным IP). Возможно ли подобное? С помощью каких средств можно реализовать (в том числе платных)? ОС значения не имеет, так как ПО кроссплатформенное.
Если говорить про тот же шлюз для выхода в интернет, то должна быть исключена возможность подмены сервера с помощью манипуляций с маршрутизацией.
  • Вопрос задан
  • 1178 просмотров
Пригласить эксперта
Ответы на вопрос 11
JohnnyGat
@JohnnyGat
Стараюсь писать код, понятный человеку.
в полном распоряжении сотрудника

Никак.
Ответ написан
@antonsr98
Системный Администратор
Подпишите с сотрудником NDA или как так называется документик, по сути о не разглашении. и будет вам счастье, а заподозрите в утечке в суд да и дело с концом
Ответ написан
@toukouva
Технически - никак.

Единственный грамотный путь - подбирать людей, дорожащих своей репутацией и имеющих высокий уровень профессиональной этики. Единственное, что, многие из таких людей не пойдут в вашу шарагу, если и она не не обладает настолько же безупречной репутацией. Берегите честь смолоду, как говорят.
Ответ написан
Комментировать
CityCat4
@CityCat4
Жил-был у бабушки серенький троллик...
Нет.

Хотя Вы не уточнили - от копирования или от утечки? Утечка организуется банальным переписыванием на бумажку :) Ее чисто теоретически можно предотвратить, только используя СМП с функцией мониторинга через веб-камеру ноута, да и то она будет бесполезна при отсутствии инета.
Копирование - то есть создание на некоем носителе копии файла с сохранением его структуры, чтобы с ним удобнее было работать - тоже возможно. Даже при всех мыслимых наворотах. Административных прав не будет? Так берем hiren, бутимся с CD, сшибаем пароль локального админа, повышаем привилегии - без использования уязвимостей! Получив права, можем отключить любых гардов, прописать любое устройство в доверенные. Можем вообще сделать тупую копию винта средствами, для этого предназначенными - акронис например. И уже с копией винта разбираться сколько угодно.
Да, СМП постфактом может оповестить о копировании - когда ноут выйдет в инет, если буфер не переполнится. Но факт утечки он предотвратить не сможет, особенно если это не БД, а какая-нибудь фотка :)

Полный доступ - это полный доступ. Тем и опасны всяческие "облачные" провайдеры - и они это прекрасно знают и потому так и стараются заполучить Ваши данные...
Ответ написан
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Информацию, выведенную на экран, можно банально перенабрать, сфотографировать, записать на видео.
Ответ написан
@other_letter
Чтобы получить ответ на этот вопрос Вам придётся рассказать много больше:
1. Что именно защищаете
2. Модель нарушителя
...ибо защитить всё от кого угодно не выйдет. Даже если не нужно оффлайна, - можно вскрыть сниффером. Шифруете? ОК, есть админ. Админ слепоглухонемой и верит в бога? ОК, есть уборщица, которая оставит камеру в админской. Нет уборщицы? ОК, есть спецслужбы, которые внедрят микромикрокамеру...

Всегда будет некий предел, который преодолевать невыгодно. Который отделяет вашу модель нарушителя от бесконечности. И этот предел зависит от п.1 - что защищаете.

Так что и от кого хотите защитить?
Ответ написан
@res2001
Developer, ex-admin
Зачем набирать людей желающих слить инфу и свалить? От такого сотрудника никакие технические средства не спасут, когда он получит доступ к информации.

Но если сотрудник лояльный, а вы защищаетесь от непреднамеренного слива или похищения информации сторонними лицами то кое-что можно предпринять:
1.Подписать документ о неразглашении.
2.Установить и настроить: систему защиты от НСД, DLP, фаервол, антивирус.
3.Централизованно собирать и мониторить логи.
4.Тотальное шифрование всех дисков, в т.ч. загрузочных.
5.Пломбировка корпуса и отсека для диска.
6.Усиленная авторизация: токены, смарт-карты и т.п.
7.Достойная зарплата сотруднику за мучения в ходе выполнения своих служебных обязанностей.
8.Запрет выхода в интернет.
Ответ написан
@fatalick
Предоставьте терминальный доступ к своим ресурсам с соответствующими правилами безопасности. Хотя и в этом случае сотрудник может просто сфотографировать экран с интересующей информацией
Ответ написан
asilonos
@asilonos
Программист
Поддерживаю вариант с Windows Remote Desktop.
Но есть решения и для отдельного Ноута :
- Зашифровать Ноут можно и даже нужно - VeraCrypt в помощ, а также можно настроить аппаратный USB ключ (типа ruToken с ПИН кодом) чтобы человек не знал и не использовал пароль - а вставлял ключ и вводил ПИН для того чтобы ноут Загрузился. Ибо сложный пароль он запишет на бумажку.
- контроль устройств: платный софт - StaffCounter: заблокирует подключение других устройств, Блутуз, DVD, запретит загрузку ПО из интернета (и его Деинсталяцию в том числе) , отправку файлов в сеть в том числе LAN/FTP , и в общем будет следить за действиями пользователя, скриншоты и всякое такое.
- Насчет Сети пока не приходит в голову решение.
Ответ написан
Комментировать
polina-it
@polina-it
Владивосток, GMT+10
Установить круглосуточное видеонаблюдение за его рабочим местом и приставить охранника-наблюдателя.
Зачем предоставлять ему в полное распоряжение компьютер? Можно, чтобы он удалённо работал с ресурсами, которые физически в другом городе и ограничить ему права на копирование.
Ответ написан
Комментировать
Я тоже голосну за доступ по рдп, если вы ему ноут предоставляете, то уж лучше предоставить слабый ноут и какой никакой мобильный интернет и рдп до рабочей станции, чем морочить голову над не реализуемой в принципе задачей. Я сам таким образом реализовывал доступ для нескольких сотрудников. (Правда я сам имею полный доступ и никакого NDA со мной никто не подписывал, но я человек порядочный и такого же работника вам желаю)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы