"Хитрая" защита информации и разделов HDD

[Cobalt]

Здравствуйте!

Возникла необходимость ограничить пользователю доступ к папкам/файлам, а также некоторым разделам жёсткого диска. Причем пользователь продвинутый, поэтому всякие Folder Guard`ы, Crypt`ы и т.д. не пройдут... Нужен комплексный подход =)
Описание системы:
Win XP SP2
1 HDD
3 логических раздела: C:, D:, E:
Раздел C: находится в распоряжении пользователя, от которого необходимо защитить разделы D: и E:
Установлено 2 операционных системы: на C:\ и D:\
Диски D: и E: используются вторым пользователем (№2) для своих нужд...
Проблема в том, что Пользователь №1 любит проводить разные эксперименты со всякой дрянью, что частенько убивает все данные на винте. Поэтому необходимо спрятать разделы D: и E:, причём так, чтобы к ним не было доступа ни из-под WinXP, ни из-под DOS, но при этом система должна грузиться с диска D:.
В случае с отдельным винтом можно использовать программу DPP для всего винта (при обращении к загрузчику выскакивает окошко для ввода пароля, но программа не работает если установлено больше одной ОС), но в моём случае винт один и используется 2-мя пользователями...
Пробовал использоваьть ограничение прав доступа средствами NTFS, но возникли проблемы с установкой и работой драйверов Также при таком подходе не защищена папка windows, то есть из другой системы её можно удалить/испортить, а этого нужно избежать.

[imhoman101]

First of all, eсли пользователь N1 член группы Администраторов на этом компе, то "защищать" бесполезно от него. Сначала убрать у него админские привилегии.
Тогда из под винды можно разрулить проблему "защиты" путем установки прав доступа на папки и диски требуемые. В крайнем случае, можно еще поиграться с Local Computer Policy, и сделать по крайней мере непростым доступ к информации, к которой не должен быть доступ.

Из под DOS чтобы не было видно диски D и E..., сложно это. NTFS если сделать, так есть NTFS-драйвера под DOS, и вроде можно обходить permissions.

При желании, пользователь может скачать специальный загрузочный диск из сети, и получить полный админский доступ к системе - узнать пароли админа, поиметь доступ к любым файлам.

PS Мое имхо, в данном случае надо привлечь Social Engineering, поговорить по душам с пользователем. Может выпустить правила пользования компьютером, вести логи итд Просто при желании защиту можно обойти, часто.

[crawler]

Ты как-то неправильно пробовал. Можно так закрыть, что потом сам не откроешь
Если есть думен, то смотри сдесь : http://support.microsoft.com/kb/q231289/
Если думена нет, то только правами доступа НТФС - разрешить юзеру N1 на D: только чтение, и настроить временные папки на С:
Можно еше поставить шифрование - он тогда никакими сторонними средствами к D: не доберется.

[Naked]

Цитата:

crawler:
Из под DOS чтобы не было видно диски D и E..., сложно это

и совсем не сложно...есть такая программка под ДОС, если мне не изменяет память, то hidefiles (или что-то похожее), но суть не в этом, по-моему, она просто делает диску параметр hide и он не виден (кстати в винде тоже), но это, пожалуй до тех пор, пока у пользователя под рукой не окажется partition magic.
А вообще, как вариант - поставить на диск С свою винду, а на D - свою, и в начале загрузчик поставить, и та винда, которая на D - под паролем... и все, пользователь будет грузится в винду на диске C, а диска D как будто и существовать не будет... У нас так в школе старой было сделано (только там связка была Win-Dos-Linux) и очень все успешно работало, хотя конечно дырки и здесь есть

[Cobalt]

imhoman101

Цитата:

First of all, eсли пользователь N1 член группы Администраторов на этом компе, то "защищать" бесполезно от него.

Установлено ДВЕ разные системы, на двух разделах, поэтому у себя в системе (на C он админ, но во второй сис-ме (на D для него даже учётной записи простого юзверя нет =)

Цитата:

Из под DOS чтобы не было видно диски D и E..., сложно это.

Это как раз-таки достаточно просто. С этим я уже разобрался, даже Pmagic из-под Доса не видит. Винда тем более.
Просто сделал ещё один логический раздел и его спрятал, но система на D всё ещё уязвима

Цитата:

При желании, пользователь может скачать специальный загрузочный диск из сети, и получить полный админский доступ к системе - узнать пароли админа, поиметь доступ к любым файлам.

Вот поэтому установка прав в NTFS не панацея...
Хорошо, а как тогда защитить систему и системные файлы от посягательства? То есть чтобы из-под другой копии винды нельзя было удалить папку windows.

crawler

Цитата:

Можно еше поставить шифрование - он тогда никакими сторонними средствами к D: не доберется.

Если правильно понял, то:
1. Берем диск с NTFS
2. Устанавливаем доступ для Админа, системы, моей учётной записи
3. Ставим шифрование NTFS
4. В идеале диск зашифруется 3 ключами (это из описания EFS), то есть расшифровать смогут только Админ, система и я...
Хороший вариант, а как быть с досом? В идеале, никакие bootcd для удаления/отображения пароля админа не прокатят, т.к. вся ФС, а соответственно и реестр, файлы и т.д. будут зашифрованы.

The_naked

Цитата:

А вообще, как вариант - поставить на диск С свою винду, а на D - свою, и в начале загрузчик поставить, и та винда, которая на D - под паролем... и все, пользователь будет грузится в винду на диске C, а диска D как будто и существовать не будет...

А поподробнее можно? Какими средствами такое можно сделать?

[Naked]

Цитата:

Cobalt:
А поподробнее можно? Какими средствами такое можно сделать?

Средства обычные, по сути, просто hide'иш раздел, как ты и делал, и из винды и из доса пользователю который на C сидит его (раздел) не видно. Есть такой загрузчик, блин, только из головы вылетело название... может кто-нибудь вспомнит - синий такой экранчик в начале, есть возможность редактирования дисков (на низком уровне), выставление паролей на загрузку, возможность загрузки с дискеты... у этого загрузчика даже сайт свой есть по имени программы...если вспомню - обязательно отпишусь

[Crazy_kettle]

Вроде Boot Magic (вместе с Partition Magic идёт) удеет это делать.
Хотя, если пользователь продвинутый, для него это никакий проблем не составит.
Да и вообще я сомневаюсь в возможности существования подобной защиты. Если захочу, то переделю диск fdisk'ом, форматну разделы и естественно вся инфа накроется.

[crawler]

Cobalt
А что с ДОСом? шифрование то на уровне ФС, операционка тут ни при чем, хоть линукс ставь.

[Cobalt]

crawler
Как-то NTFS странно шифрует:
ставлю владельцем папки только себя, потом включаю шифрование. По идее, папка должна быть зашифрована моим ключом и никто другой доступ к содержимому не получит, ан нет, захожу под учётной записбю админа - пару действий и я уже смотрю содержимое папки, хотя владельцем был назначен только я, соответственно и ключ шифрования использовалс мой. Пока писал, идея пришла: это скорее всего из-за того, что админ входит в группу агентов по восстановлению данных. Надо будет его прибить и проверить снова =)

Crazy_kettle

Цитата:

Если захочу, то переделю диск fdisk'ом, форматну разделы и естественно вся инфа накроется.

Ну предположим, что один раздел, который я спрятал он не форматнёт. Fdisk его не видит, там вместо раздела Free Space
Тут главная идея не в том, что пользователь будет специально пытаться убить мои данные, а в том, что его разные дряные программы (вирусы и прочая гадость) могут запороть всё без его ведома, поэтому и необходимо спрятать...

[Naked]

Цитата:

Cobalt:
(вирусы и прочая гадость) могут запороть всё без его ведома, поэтому и необходимо спрятать...

если прячется только от этого, то по-моему как раз загрузчик подойдет - я вспомнил, как его зовут __http://symon.ru, проблемка только в регистрации, но без нее приходится просто ждать лишних 15 секунд(вроде)....

Цитата:

Вы используете компьютер дома, чтобы заниматься работой? Или, возможно, у Вас есть другие важные домашние дела, связанные с компьютером? А ребенок хочет играть с ним? Вы опасаетесь, что его игры могут кончиться полной переустановкой ОС и заодно многих программ, которые Вам пришлось так долго настраивать? Нет ничего проще, чем поставить ребенку вторую ОС и поставить пароль на загрузку своей. Вы сможете полностью изолировать обе ОС друг от друга, так что дети не будут подпущены ни к одному Вашему файлу! Такое решение, к тому же, гораздо дешевле, чем покупка второго компьютера специально для детских шалостей.

[crawler]

Если акк админа будет создан после шифрования, то админ не будет иметь ключа к шифру. А если ты шифруешь каким-то юзером, то админ автоматом имеет доступ - ключ создается на основе уже имеющихся. Кажется так. Но я сам это не делал - только теория. Кстати попробуй зашифровать с системы на Д:, а попробовать зайти админом с С: - кажется у каждой Винды должны быть свои ключи.

Но если стоят 2 системы, то загрузчик может прятать разделы. Кажется Partition magic умеет.

По любому, сходи по ссылке что я дал выше може это применимо и бе з думена - просто в думене это точно работает.

[Cobalt]

crawler

Цитата:

Кстати попробуй зашифровать с системы на Д:, а попробовать зайти админом с С: - кажется у каждой Винды должны быть свои ключи.

Конечно, у каждой системы свой набор ключей для шифрования.

Цитата:

Если акк админа будет создан после шифрования, то админ не будет иметь ключа к шифру

Аккаунт админа автоматом создается ещё на этапе установки.
Поэтому делается проще - удаляем группу администраторы из агентов восстановления - больше админы ничего расшифровать не смогут =)