Какие есть альтернативные методы загрузки и/или дешифрации Windows?
Вопрос скорее всего не один, не уверен как правильно задать.
Предыстория: год назад конкуренты наслали маски-шоу на предприятие, в ходе которых у сотрудника под давлением выудили пароль дешифрации компьютера, после чего произошла утечка конфиденциальных данных (заявки на патенты). После этого случая бизнес сильно пошатнулся и сейчас встала задача предотвратить такие ситуации в будущем. То есть, нужно сделать так, чтобы компьютер невозможно было разблокировать, даже зная пароль дешифрации. Самый подходящий способ вроде лежит первым при поиске в гугле (сетевая разблокировка BitLocker), но часть компьютеров, которые нужно защитить, находятся не в домене + часть из них периодически перемещается между филиалами, где домены разные. В общем, этот способ не подходит в т.ч. ещё по некоторым причинам.
Вопрос: как можно организовать защиту таких машин?
Приму во внимание любые идеи по этому поводу, даже самые изощрённые.
Возможно, есть ещё какой-то софт, который может проводить разблокировку по сети или что-то типа того?
Также, пару-тройку лет назад читал про способ, где было примерно так: при включении загружался супер урезанный линукс, к нему можно было подключиться по ssh, ввести пароль дешифрации, после чего начиналась загрузка Windows. Никак не могу найти эту статью и способ вообще, может кто знает как можно построить подобное?
СУТЬ ТАКОВА, что при недоступности некоего сервера (с ключами дешифрации или скриптом подключения по ssh для разблокировки) компьютер не сможет включиться.
Рональд Макдональд, при всём уважении, мне всё равно верите вы или нет. Я задал вопрос для поиска решения задачи, а не повествования истории предприятия. К тому же, если вы никогда не присутствовали на подобных мероприятиях, это не означает что такого не существует или что это происходит как-то по-другому.
Это делается элементарно. Никаких технических методов, чисто административные.
Ограничить физический доступ к компьютерам, обеспечить отключение компьютеров при проникновении посторонних. Все данные зашифрованы.
Для разблокировки сотрудник звонит диспетчеру, представляется, идентифицируется, и диспетчер находящийся в другом здании, городе дистанционно введет пароль и разблокирует компьютер.
Вариант хороший и вполне подходит, только вот КАК дистанционно ввести пароль? Все известные мне способы шифрования (BitLocker, VeraCrypt) требуют ввода пароля непосредственно с клавиатуры компьютера, либо при помощи USB ключа, первое сотрудник может выдать, второе и выпрашивать не нужно.
АртемЪ, речь идёт о пароле дешифрации СИСТЕМНОГО диска, во время его ввода система ещё не работает, никакой скрипт запустить нельзя. В случае с сетевой разблокировкой bitlocker, компьютер загружается по PXE, авторизуется с помощью сертификата и затем получает ключ дешифрации.
ipoluda, Не совсем понял какая связь между системным диском, диском С и программами.
Не совсем понятно что за доступы в браузере, но если вам надо зашифровать браузер - шифруйте юзерпрофайл.
Хотя повторю еще раз шифровать надо данные, а не программы.
Программы шифровать смысла особого нет.
Можно и просто штатное шифрование и двухфакторная авторизация через внешний какой-нить rsa сервис, который руководство компанией может оперативно отключить, и тогда сотрудник даже с паролем не будет иметь возможности залогиниться и расшифровать.
Насколько понимаю, этот вариант подразумевает покупку весьма недешёвых RSA ключей. Или есть бесплатные аналоги типа Google Authenticator или DUO? Какой софт для шифрования поддерживает такое (BitLocker и VeraCrypt не умеют, насколько знаю)?
ipoluda, Почему битлокер не поддерживает?
Если человек не сможет залогиниться, то и расшифровать не сможет. Готовое бесплатное решение не подскажу, но в эту сторону можно поискать, и если для вас это критически важно, возможно все-таки поискать готовое решение под ключ
Это не ваша головная боль если вы не владелец бизнеса. Технически это не решается.
Да и похоже что то бредовое. Что за страна?
Решается кстати все в комплексе. Во первых предприятие делается белым и пушистым. Во вторых заключается договор с хорошим юристом, на противодействие маски шоу. Далее всех пользователей на тонкие клиенты. Связь с сервером через роутер с обязательным вводом пароля и gsm розеткой.
Технически это решается с помощью Сетевой Разблокировки BitLocker, при недоступности сервера с ключами дешифрации (выключен во время штурма), компьютер запрашивает пароль (который сотрудник не знает). В штатном режиме компьютер расшифровывается по сети и пользователь даже не знает что компьютер зашифрован.
Это как раз моя головная боль, потому что я администратор, который должен защитить данные технически.
Действие происходит в Украине, во время масок-шоу юристы вместе с остальными стояли лицом к стене.
P.S. Предприятие белое и пушистое. А вот полиция продажная.
В общем, наверняка когда-нибудь кто-то будет пытаться решить этот же вопрос, поэтому вот моё решение в виде велосипеда с костылями вместо колёс. Так как все компьютеры в нашей организации имеют минимум 8Гб оперативки, поставил на них proxmox, внутри него крутится виртуалка с виндой, которой достаётся около 7Гб (что тоже неплохо для офисных задач). На proxmox поставил GUI (Mate + LightDM) и подключаюсь к виртуалке на этом же компе посредством RDP (freerdp). Параллельно поднял NodeRed сервер, на который поставил telegram бота и ноды ssh. Схема такая: пользователь загружает proxmox с рабочим столом, затем отправляет боту в телеграме команду "unlock", NodeRed определяет какой пользователь это отправил и подключается по SSH к соответствующему компьютеру (к proxmox) и вводит команду qm sendkey, которая вбивает пароль дешифрации в виртуалку с Windows, после чего винда загружается и к ней можно подлючаться по RDP. Итог: польщователь не знает пароль, но может дешифровать винду, при этом ключи дешифрации каждой станции хранятся в NodeRed, который в свою очередь также крутится на зашифрованном линуксе
Простой
