Как защитить компьютер с постоянным аптаймом?

Question

[adm]

Здравствуйте.
Имеется следующая задача (хотя если честно я думаю что решить её невозможно):
Есть компьютер (win) который постоянно находится в сети (удаленный доступ). KVM и других прелестей жизни нет, это обычный ПК. Суть вопроса в том что возможно ли как-то зашифровать диск, но при этом не вводить пароль вручную при каждой перезагрузке (ПК находится за 1000км и возможности оперативно его навестить нет). Задача - защититься от таких угроз как кража и последующий анализ данных, и самое проблемное, анализ на месте.

Т.к. ПК удаленный, вариант с паролем отпадает, есть вариант с флешкой которая будет расшифровывать ПК. Данный вариант тоже отпадает т.к., условно, мистеру Плохишу станет доступна и это флешка.

Как перспективный вариант я рассматриваю некий ключ который находиться на удаленном сервере. ПК при включении читает его и расшифровывает диски, в случае угрозы доступ к удаленному серверу обрывается. Но какими способами такого можно добиться? В veracrypt и похожих программах я такого функционала не нашел.

Answer 1

[ThunderCat]

Задача - защититься от таких угроз как кража и последующий анализ данных, и самое проблемное, анализ на месте.

Чет я не понял, если комп загрузился, диски уже расшифровались, как можно "защититься" от анализа на месте? Динамит под мышку?

Comments

[adm]

Все верно, диски расшифровались, однако остался последний рубеж защиты - нужно ввести пароль для входа в учетку. Без него скопировать и увидеть данные нельзя, только если использовать уязвимости нулевого дня, но данные не стоят таких затрат :) Проблемой является то что можно этот пароль удалить из под дос-а, однако в приведенном выше варианте битлокера этот вариант не прокатит, т.к. со стертыми паролями удаляются и ключи, и данных превращаются в бессмысленную кашу. Битлокер на самом деле сейчас лучший из вариантов, если бы не его чудовищная дырявость...

[ThunderCat]

adm: тогда почему не трукрипт?

[adm]

У него нет возможности загрузки по сети, только вручную, максимум флешкой, по крайней мере я так понял. Так же если все же эта возможность есть, если сбросить методом выше пароль на учетке то все - данные будут расшифрованные лежать.

Answer 2

[xmoonlight]

1. Документация командной строки VeraCrypt (надо было прочитать :) )
2. Автоподключение к SFTP - сделать в автозагрузке с отслеживанием статуса через nncron
3. Запуск монтирования тома из cmd-файла, который нужно будет каждый раз грузить при старте системы для монтирования диска с помощью psftp с удалённого SFTP сервера и с последующим исполнением скачанного CMD-файла.

Answer 3

[Boris Köln]

защититься от таких угроз как кража

Если физическая кража компа, то можно разделить все данные на части типа пиринговых сетей и хранить в географически разных местах. Доступ только к части данных бесполезен.

Если подключение и слив данных, то шифрование никак не поможет - ведь во включенном состоянии данные будут расшифрованы. Уменьшить вероятность помогут очевидные советы: обновлять ОС, поставить и обновлять антивирус, грамотное администрирование (если не уверены в своих силах - обратитесь к профессионалу), без необходимости не сидеть под рутом, не открывать аттачи в незнакомых письмах, не ходить по сомнительным сайтам и т.д.

Но вообще все это лишь видимость защиты. Представьте, что уведут ваш ssh-пароль от этого компа, подключатся к нему и сольют данные. Будь он хоть в охраняемом подземном бункере с зашифрованным диском.

Comments

[adm]

На ПК настроенная двухфакторная авторизация, пароль ничего не даст, после попытки авторизации без 2fa, будет сделана соответствующая запись в журнале доступа, соотвественно сразу же станет понятно что пароль скомпрометирован.

Answer 4

[Adamos]

В винде же есть шифрование пользовательской папки.
Сам не пользовался, но теоретически - если пользователь, под которым вы заходите, не совпадает с локальным пользователем по умолчанию, то на месте никто ваше файло не прочитает.
Или файлы все-таки должны кем-то читаться все время, но только тогда, когда вы этого хотите? Тогда задача, конечно, неразрешима.

Answer 5

[sim3x]

но при этом не вводить пароль вручную при каждой перезагрузке (ПК находится за 1000км и возможности оперативно его навестить нет)

нет
Если да, то тогда нет смысла шифровать диски