|
"Хитрая" защита информации и разделов HDD
Здравствуйте!
Возникла необходимость ограничить пользователю доступ к папкам/файлам, а также некоторым разделам жёсткого диска. Причем пользователь продвинутый, поэтому всякие Folder Guard`ы, Crypt`ы и т.д. не пройдут... Нужен комплексный подход =) Описание системы: Win XP SP2 1 HDD 3 логических раздела: C:, D:, E: Раздел C: находится в распоряжении пользователя, от которого необходимо защитить разделы D: и E: Установлено 2 операционных системы: на C:\ и D:\ Диски D: и E: используются вторым пользователем (№2) для своих нужд... Проблема в том, что Пользователь №1 любит проводить разные эксперименты со всякой дрянью, что частенько убивает все данные на винте. Поэтому необходимо спрятать разделы D: и E:, причём так, чтобы к ним не было доступа ни из-под WinXP, ни из-под DOS, но при этом система должна грузиться с диска D:. В случае с отдельным винтом можно использовать программу DPP для всего винта (при обращении к загрузчику выскакивает окошко для ввода пароля, но программа не работает если установлено больше одной ОС), но в моём случае винт один и используется 2-мя пользователями... Пробовал использоваьть ограничение прав доступа средствами NTFS, но возникли проблемы с установкой и работой драйверов :( Также при таком подходе не защищена папка windows, то есть из другой системы её можно удалить/испортить, а этого нужно избежать. |
First of all, eсли пользователь N1 член группы Администраторов на этом компе, то "защищать" бесполезно от него. Сначала убрать у него админские привилегии.
Тогда из под винды можно разрулить проблему "защиты" путем установки прав доступа на папки и диски требуемые. В крайнем случае, можно еще поиграться с Local Computer Policy, и сделать по крайней мере непростым доступ к информации, к которой не должен быть доступ. Из под DOS чтобы не было видно диски D и E..., сложно это. NTFS если сделать, так есть NTFS-драйвера под DOS, и вроде можно обходить permissions. При желании, пользователь может скачать специальный загрузочный диск из сети, и получить полный админский доступ к системе - узнать пароли админа, поиметь доступ к любым файлам. PS Мое имхо, в данном случае надо привлечь Social Engineering, поговорить по душам с пользователем. Может выпустить правила пользования компьютером, вести логи итд Просто при желании защиту можно обойти, часто. |
Ты как-то неправильно пробовал. Можно так закрыть, что потом сам не откроешь :)
Если есть думен, то смотри сдесь : http://support.microsoft.com/kb/q231289/ Если думена нет, то только правами доступа НТФС - разрешить юзеру N1 на D: только чтение, и настроить временные папки на С: Можно еше поставить шифрование - он тогда никакими сторонними средствами к D: не доберется. |
Цитата:
А вообще, как вариант - поставить на диск С свою винду, а на D - свою, и в начале загрузчик поставить, и та винда, которая на D - под паролем... и все, пользователь будет грузится в винду на диске C, а диска D как будто и существовать не будет... У нас так в школе старой было сделано (только там связка была Win-Dos-Linux) и очень все успешно работало, хотя конечно дырки и здесь есть;) |
imhoman101
Цитата:
Цитата:
;) Просто сделал ещё один логический раздел и его спрятал, но система на D всё ещё уязвима Цитата:
Хорошо, а как тогда защитить систему и системные файлы от посягательства? То есть чтобы из-под другой копии винды нельзя было удалить папку windows. crawler Цитата:
1. Берем диск с NTFS 2. Устанавливаем доступ для Админа, системы, моей учётной записи 3. Ставим шифрование NTFS 4. В идеале диск зашифруется 3 ключами (это из описания EFS), то есть расшифровать смогут только Админ, система и я... Хороший вариант, а как быть с досом? В идеале, никакие bootcd для удаления/отображения пароля админа не прокатят, т.к. вся ФС, а соответственно и реестр, файлы и т.д. будут зашифрованы. The_naked Цитата:
|
Цитата:
|
Вроде Boot Magic (вместе с Partition Magic идёт) удеет это делать.
Хотя, если пользователь продвинутый, для него это никакий проблем не составит. Да и вообще я сомневаюсь в возможности существования подобной защиты. Если захочу, то переделю диск fdisk'ом, форматну разделы и естественно вся инфа накроется. |
Cobalt
А что с ДОСом? шифрование то на уровне ФС, операционка тут ни при чем, хоть линукс ставь. |
crawler
Как-то NTFS странно шифрует: ставлю владельцем папки только себя, потом включаю шифрование. По идее, папка должна быть зашифрована моим ключом и никто другой доступ к содержимому не получит, ан нет, захожу под учётной записбю админа - пару действий и я уже смотрю содержимое папки, хотя владельцем был назначен только я, соответственно и ключ шифрования использовалс мой. Пока писал, идея пришла: это скорее всего из-за того, что админ входит в группу агентов по восстановлению данных. Надо будет его прибить и проверить снова =) Crazy_kettle Цитата:
Тут главная идея не в том, что пользователь будет специально пытаться убить мои данные, а в том, что его разные дряные программы (вирусы и прочая гадость) могут запороть всё без его ведома, поэтому и необходимо спрятать... |
Цитата:
Цитата:
|
Если акк админа будет создан после шифрования, то админ не будет иметь ключа к шифру. А если ты шифруешь каким-то юзером, то админ автоматом имеет доступ - ключ создается на основе уже имеющихся. Кажется так. Но я сам это не делал - только теория. Кстати попробуй зашифровать с системы на Д:, а попробовать зайти админом с С: - кажется у каждой Винды должны быть свои ключи.
Но если стоят 2 системы, то загрузчик может прятать разделы. Кажется Partition magic умеет. По любому, сходи по ссылке что я дал выше може это применимо и бе з думена - просто в думене это точно работает. |
crawler
Цитата:
Цитата:
Поэтому делается проще - удаляем группу администраторы из агентов восстановления - больше админы ничего расшифровать не смогут =) |
| Часовой пояс GMT +4, время: 06:34. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.