@adm

Как защитить компьютер с постоянным аптаймом (upd)?

Здравствуйте. Если вас начинает посещать чувство дежавю - это не спроста, я уже задавал этот вопрос, однако я не сидел на месте и искал варианты, и даже нашел, но все равно есть несколько но...

Если вкратце, суть прошлого вопроса в следующем, есть компьютер, он постоянно включен. Доступа к нему нет (он находится далеко), за ним чисто теоретически могут прийти и скопировать коммерческую информацию. Цель - защититься он данного типа атак. Компьютер это обычный ПК на Windows 10, настроен автовход, без дополнительного оборудования, дешифрование должно происходить автоматически, даже при перезагрузках и прочих условиях (например пропал свет, в bios стоит power on, свет появился, ПК пошел на старт).

В прошлой теме по сути был дан ответ - BitLocker Network Unlock, однако он подходит только для серверной ОС и, судя по тому что я понял, работает с доменом по локальной сети. Вариант не подходит т.к. мой ПК - одиночный.

Ответ был по сути на поверхности, в windows существует стандартное шифрование (EFS) (правой кнопкой по папке-свойства-атрибуты-другие-шифровать содержимое для защиты данных), при этом на ПК создается сертификат с которым возможно расшифровать данные файлы на лету, если же, например подключить данный винчестер к другому ПК и скопировать файлы - они будут зашифрованы (а так же если скопировать их на флешку даже при включенной ОС, они в зашифрованном виде скопируются). Однако при всех прелестях есть очевидные НО:

1. Ничего не мешает тем же путем что файл шифруется - расшифровать его, просто убрав "галочку" в настройках. Существует ли варианты при таком взаимодействии требовать пароль администратора? (не UAC, а именно пароль)
2. Существует ли возможность защитись сертификат от импорта? Опять же требовать пароль администратор или сертификата.
3. При данном типи шифрования возможно ли зашифровать имена файлов? На данный момент это выглядит как "file.doc.[расширение EFS]" (я пробовал искать подобные пункты в политиках безопастности - безрезультатно)
4. Возможно ли вообще загружать Windows но при этом показывать форму авторизации? Т.е. происходит старт ОС, выполняется автозагрузка, запускается нужный софт (например веб сервер), но для наблюдателя все что видно - форма авторизации, после ввода пароля - можно работать с Windows (реализация данного направления самая интересная, т.к. автоматически защищает от 1 и 2 пункта). Все что я нашел - это добавить в автозагрузку, или сценарий к профилю, или добавить в планировщик заданий сценарий - при входе выполнять "user32.dll, LockWorkStation". Но этот вариант просто смешной, ведь можно банально зайти в безопасном режиме и всё это не будет выполнено. Да и без этого пункта по сути все бессмысленно, т.к. в полностью расшифрованной Windows не составить труда прочитать все файлы, даже без копирования, если же этот пункт реализовать и даже, к примеру, сбросить пароль администратора сторонним софтом - файлы не расшифруются.

В общем жду ваших мыслей, может я что-то упустил?
  • Вопрос задан
  • 380 просмотров
Пригласить эксперта
Ответы на вопрос 3
AxianLTD
@AxianLTD
При физическом доступе к телу компьютера защита тоже должна быть физической, например аппаратный шифровальщик дисков, аппаратное отключение (читай отрезание) портов. Все остальное от лукавого. Как попытка ватным (software) мешком забивать стальной (hardware) гвоздь.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
Мне кажется, Вы не с того начали. Начинают всегда с вопроса - а какова модель нарушителя? От кого защищаетесь, пардон? От любопытного соседа, от конкурента, от государства? У разных нарушителей - разные возможности и разная мотивация. Там, где сосед уже свалит, государство только пометку сделает о том, что пора бы уже расчехлить паяльник.
И второе. Windows ну вот никак не приспособлена для того, что пытаетесь замутить. Это игровая консоль, центр развлечений - игрухи, киношки, музон. Ну еще в качестве офисной рабочей станции годится. Для таких вещей, как Вам надо берут линух. Причем не абы какой, а специализированный (какой - не подскажу).
В общем случае - нужно оооочень сильно постараться, чтобы имея аппаратный доступ к компу, не дать слить инфу. И это опять нас возвращает к вопросу о модели нарушителя. Чем сильнее мотивация - тем больше усилий нарушитель предпримет для доступа к информации.
Вы говорите, что комп очень далеко и добраться нет возможности? Тогда откуда Вы можете знать - а вдруг он там давно уже виртуализован? Вот например.
Ответ написан
Комментировать
@WayMax
тебе уже отвечали что при полном физическом доступе к ПК - ты его ничем не "защитишь"
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы