Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: FKoudelka 10. 05. 2024, 11:40:57
-
Zdravím,
jsem povinen si roky používaný NB zařadit pod firemní AD. Je nějaká cesta, jak zajistit, aby mi admin neviděl na soukromé soubory ? Jakákoliv v rámci Windows, , v nejhorším externí disk nebo soukromé šifrování ..
Díky
-
Jak to bude v doméně, tak máš peška, šéfem domény je admin!
Může si dělat cokoliv od zachytávání stisků kláves, nahrávání obrazovky nebo i přístupu v podstatě kamkoliv.
Ale neříkej, že neumíš trollit ajťáka :-D
-
Jak jednou zařadíš pc do domény tak nad ním ztrácíš kontrolu. šifrovaný externí disk ti nepomůže. Jediné řešení je virtuální pc a nechat si přidat do domény jen virtuální stroj ne fyzický stroj nebo druhý notebook.
Osobně pouužívám dva notebooky, jeden pro práci, druhý starší na soukromé věci.
Pokud nejsi na doméně technicky závislý - tzn uděláš svou práci i bez domény, jen je nějaký předpis že chtějí tvoje pc v doméně nebo to potřebuješ 1x měsíčně na nějakou obskurní činnost, tak si třeba udělej dual boot, jeden os v doméně bude, druhý ne, 99% procent času budeš používat nedoménový OS, šifrovaná partition kterou nikdy nebudeš připojovat z doménového OS tak zůstane relativně bezpečná.
-
Ak je to firemny ntb, tak vsetko v nom patri firme. Sukromne veci na sukromnom ntb.
Zase nemusis byt paranoidny, admin vacsinou netravi vacsinu casu pozeranim dokumentov na zariadeniach zamestnancov, riesi to jedine, ak je nejaky problem.
-
Dualboot nepomůže, dokonce i Linuxové oddíly se dají připojit: (třeba přes WSL: https://learn.microsoft.com/en-us/windows/wsl/wsl2-mount-disk)
A pokud bys měl dualboot Widlí, tak ten disk bude rovnou vidět.
Jediné řešení jsou dva notebooky.
-
1 - jestli je NB firemní, tak je správné, aby byl v doméně, centrální správa aplikací, zabezpečení atd. (forma nemůže spoléhat na uživatele, že si vše nastaví sami a že to umí
2 - ve směrnici ve firmě je (by mělo být) napsáno, co firma smí a nesmí sledovat.
3 - firemní zařízení by jsi měl používat pro firemní účely a ne na tom hrát třeba hry, nebo tahat filmy z torrentů ( když si bereš HW domů (teda jestli můžeš)
-
a ještě doplním,
za porušení firemních směrnic může být postih, tak neřeš, jak se tomu vyhnout,,, a jak tu někdo psal. používej dva NB, pro práci a pro soukromí
-
Jak to bude v doméně, tak máš peška, šéfem domény je admin!
Může si dělat cokoliv od zachytávání stisků kláves, nahrávání obrazovky nebo i přístupu v podstatě kamkoliv.
Ale neříkej, že neumíš trollit ajťáka :-D
No ty určitě, ramena jak Hulk, ale jinak malý script kiddie ;D, a to že utíkaš k adminovi ať to smaže na tom nic nezmění !
-
Je-li notebook zaměstnavatele, tak konej dle jeho instrukcí a navíc soukromá data nemají na tom stroji co dělat! Řeší to i zákoník práce. Admini opravdu mají v lásce takové koumáky co berou firemní HW jako svůj soukromý.
-
Takže mi chcete říct, že když si zašifruju na NTFS svazku „normálním způsobem“ soubory, tak se k jejich původnímu obsahu může dostat i někdo jiný? Ptám se proto, že mi není jasné, k čemu pak takové šifrování je, a zajímalo by mě, jak se k nim admin domény může dostat.
-
Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.
Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.
Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.
Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.
-
a dát ty soubory třeba na iCloud by nepomohlo ?
-
a dát ty soubory třeba na iCloud by nepomohlo ?
Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..
-
Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.
Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.
Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.
Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.
taky proto linux tak neradi firmy dávají do domény. Mimochodem, to že root je pánen už přestává platit, vznikají nám tady antiviry a podobné SW, které mají řadu věcí implementovaných jako kernel modul a schovávají/šifrují tak i data. Root se na ty procesy a data nedostanu.
Dnes jsou společnosti odpovědní za bezpečnost a nelze mít odpovědnost za bezpečnost a zároveň mít na stanici místa, která se nesledují, takže ano, zařazení osobního počítače do firemního prostředí zpřístupňuji všechna data.
-
a dát ty soubory třeba na iCloud by nepomohlo ?
Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..
Chceš říct, že admin mi uvidí do iCloudu ?
-
Nechápu na co se ptáš!
Jestliže chceš být pánem notebooku tak si ho kup.
Tohle je zbytečná diskuze od samého začátku, ty prostě nejsi ochotný pochopit, že někdo dělá svoji práci (admin) a je za to placen, stejně jako ty jsi placen za tu svoji práci.
Všechno musíš komunikovat hlavně se svým vedoucím, ten pak možná může zaúkolovat admina nebo povolit, a nebo to bude eskalovat výš, a ten pak klidně na personální.
-
Nechápu na co se ptáš!
Jestliže chceš být pánem notebooku tak si ho kup.
Tohle je zbytečná diskuze od samého začátku, ty prostě nejsi ochotný pochopit, že někdo dělá svoji práci (admin) a je za to placen, stejně jako ty jsi placen za tu svoji práci.
Všechno musíš komunikovat hlavně se svým vedoucím, ten pak možná může zaúkolovat admina nebo povolit, a nebo to bude eskalovat výš, a ten pak klidně na personální.
Díky, ale tento typ rad je irelevantní, další už komentovat nebudu. Zajímá mne technická stránka.
O obskurní činnost mi nejde, ale nemusí každý vidět mé soukromé dokumenty. Svůj NB mám, ale u tohohle a jeho předchůdců sedím už 20 let 5x8, nebudu mít otevřené dva NB.
-
No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?
-
Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.
Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.
Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.
Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.
taky proto linux tak neradi firmy dávají do domény. Mimochodem, to že root je pánen už přestává platit, vznikají nám tady antiviry a podobné SW, které mají řadu věcí implementovaných jako kernel modul a schovávají/šifrují tak i data. Root se na ty procesy a data nedostanu.
Dnes jsou společnosti odpovědní za bezpečnost a nelze mít odpovědnost za bezpečnost a zároveň mít na stanici místa, která se nesledují, takže ano, zařazení osobního počítače do firemního prostředí zpřístupňuji všechna data.
To vobec neni o tom ze windows = deravy a linux = super bezpecny.
To je o tom ze na linux neexistuju rozne veci ktore existuju na windows, napr centralna sprava, ktora linuxova distribucia (free distribucia) to ma naporiadok poriesene?
Ktora linuxova distribucia funguje dobre so sharepointom? Ktora linuxova distribucia funguje dobre s MS office balickom (prosim nesnazte sa mi predat ze libreoffice je plnotucna nahrada). Ktora linuxova distribucia funguje dobre so zdielanymi tlaciarnamy? Ktora linuxova distribucia nepotrebuje kompletne preskolenie zamestnancov aby vedeli ako ju vobec pouzivat (vacsina ludi pracujucich v kancli su proste BFU, to ze sedia 40hod tyzdenne za PC neznamena ze su z nich guru-ovia). A kopa dalsich otazok. Ty admini vedia preco to nasadzuju, a pre modre oci niekoho kto sa snazi presadit nejaky OS (a je teraz fakt jedno aky) to nebude.
@FKoudelka:
Mozes skusit virtualizaciu ak na to vo firme kyvnu, ale velku sancu by som tomu nedaval. Inak proste mat dalsi notebook. Nechapem ako moze niekto pouzivat jeden stroj na pracu aj sukromie. Automaticky cokolvek robim na pracovnom notebooku ratam ze vidi aj moj zamestnavatel.
Edit: ohladom zamknutia suboru tak aby do neho nemohli pozerat. Ano, da sa to, dostanes ho na ten PC uz zasifrovany. A nesmies ho pravdaze na tom PC otvarat, pretoze inak je heslo niekde v pameti ktoru keby hodne chceli si mozu precitat.
-
Zdravím,
jsem povinen si roky používaný NB zařadit pod firemní AD. Je nějaká cesta, jak zajistit, aby mi admin neviděl na soukromé soubory ? Jakákoliv v rámci Windows, , v nejhorším externí disk nebo soukromé šifrování ..
Díky
https://veracrypt.fr/en/Home.html
-
Ve windows je uživatelský profil standardně nepřístupný pro admina (lhostejno, zda lokálního nebo doménového). Dále lze u vytvořeného adresáře odebrat všechna práva a admin má opět smůlu. Obojí jsem zažil - Win10 + AD2016.
-
No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?
Co vlastne konkretne riesis? domenovy admin je boh systemu, on sa moze dostat vsade. A co sa tyka pracovnych citlivych udajov, na to su hadam nejake smernice.
Napr. v banke dostanes notebook, kde nepripojis ani usb, v ramci disku sa dostanes len do svojho profilu a cely disk je sifrovany. Ale z jedineho dovodu, ak by ho niekto ukradol, tak sa nedostane k udajom, max. tak moze sformatovat disk.
-
Pro: NoN
Doménový admin může kdykoliv převzít vlastnictví jakéhokoliv objektu. A může ho opětovně komukoliv přiřadit.
To že admin nemá někam přístup je dáno nějakým předpisem, ale nikoliv systémem.
-
Doménový admin nemusí ani vlastnictví přebírat, může využít Backup privileges a soubory si zkopírovat k sobě.
Je to vcelku jednoduché, pár let zpátky jsem dělal takovou utilitku, která pročmuchala celý strom souborů a udělala z toho podrobný log, kde jsou jaké soubory a nastavená jaká práva - a to včetně home složek uživatelů bez toho, aby kdekoliv měnila práva nebo vlastnictví.
-
Pro: NoN
Doménový admin může kdykoliv převzít vlastnictví jakéhokoliv objektu. A může ho opětovně komukoliv přiřadit.
To že admin nemá někam přístup je dáno nějakým předpisem, ale nikoliv systémem.
Jasan, ale převzetí vlastnictví je jiná úloha než prostý přístup. A jsem skoro přesvědčen, že ani převzetí vlastnictví mi nešlo, nicméně šlo o SMB sdílený disk. Ale na 100% si jist už nejsem.
-
a dát ty soubory třeba na iCloud by nepomohlo ?
Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..
Chceš říct, že admin mi uvidí do iCloudu ?
Admin má přístup k libovolným souborům, takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. z pohledu serveru je to stejné jako by ses na domácí wifi někde přihlásil, uspal a přenesl notebook jinam, tam zapneě a většina služeb se tě nebude znovu ptát na heslo. btw v normálních firmách jsou "admini" a admini, ti první nemají práva, ti druzí mají bezpečnostní prověrku nebo důveru nejvyššího vedení. ale ano v pochybné firmě kde je admin asociální pako bez zábran by se to stát mohlo.
-
Dík za vaše příspěvky. Jsem Unixák, se správou Windows nemám zkušenosti.
Rozumím všemocnosti admina, ale aspoň nějaké "best effort" řešení by nebylo ?
Co se browseru týče, anonymní okno pomůže ?
Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...
-
a dát ty soubory třeba na iCloud by nepomohlo ?
Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..
Chceš říct, že admin mi uvidí do iCloudu ?
Admin má přístup k libovolným souborům, takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. ... ale ano v pochybné firmě kde je admin asociální pako bez zábran by se to stát mohlo.
No právě ...
-
takže když si zkopíruje profil tvého prohlížeče včetně aktivní přihlášené session cookie, tak ano, může se ti dostat kamkoliv přestože tam máš dvoufaktor. z pohledu serveru je to stejné jako by ses na domácí wifi někde přihlásil, uspal a přenesl notebook jinam, tam zapneě a většina služeb se tě nebude znovu ptát na heslo
Ani ta změna IP adresy nemusí nastat. Odpovím jak je to na Linuxu, ale na Windows to bude určitě podobné. Přihlásíš se se ssh -D 1234 a pak nastartuješ prohlížeč s tím ukradeným profilem a řekneš mu, že má používat SOCKS proxy na uvedeném portu. Provoz se tak tuneluje přes ten originální počítač.
Dík za vaše příspěvky. Jsem Unixák, se správou Windows nemám zkušenosti.
Rozumím všemocnosti admina, ale aspoň nějaké "best effort" řešení by nebylo ?
Co se browseru týče, anonymní okno pomůže ?
Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...
Promiň, ale jako IT security by ti snad mělo být jasné, že když správce domény může mj. dělat deploy libovolného SW vybavení, tak může instalovat třeba i software na screenshotování obrazovky, a tím anonymní okno prohlížeče vyscreenshotovat. (nejjednodušší případ) Nebo jsem úplně mimo? A jako unixákovi by ti mohlo být jasné jak by se to dělalo na unixu - root si nastaví DISPLAY a XAUTHORITY proměnné na tvůj X server, spustí scrot, a má obrázek.
-
instalovat třeba i software na screenshotování obrazovky
Nemusí nic instalovat, normálně to uděláš powershellem.
$Bitmapa = New-Object System.Drawing.Bitmap $Sirka, $Vyska
$Gra = [System.Drawing.Graphics]::FromImage($Bitmapa)
$Gra.CopyFromScreen($Levá, $Vršek, 0, 0, $Bitmapa.Size)
No a když chceš stisky kláves, tak si nastavíš handlery...
Set-PSReadLineKeyHandler
Ale jasně, pokud chceš nějaké rozsáhlejší špízování, tak je software asi lepší.
Nicméně firmy stejně instalují různý špízovací software typu CiscoUmrela, který vedení dodává seznamy navštívených stránek a podobně.
-
... se správou Windows nemám zkušenosti.
Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...
Řekl bych, že se tady ve dvou větách dostáváme k jádru problému té firmy, ve které pracuješ...
Ne, prostě neexistuje rozumnej způsob, jak něco před Adminem schovat. A jako "IT security" bys to měl vědět - pokud to teda není název pro sekuriťáka, co hlídá na recepci, aby lidi neopouštěli prostory firmy s jejím IT vybavením. :P
-
Ne, prostě neexistuje rozumnej způsob, jak něco před Adminem schovat. A jako "IT security" bys to měl vědět - pokud to teda není název pro sekuriťáka, co hlídá na recepci, aby lidi neopouštěli prostory firmy s jejím IT vybavením. :P
Asi tak. V jisté době existoval koncept, kde tohle fungovalo (kdo si ještě pamatuje na C2 a B1 certifikace? Každý sekuriťák by si to měl zopakovat), Windows ve své největší slávě získaly s hodně hardeningem C2, což na tazatelův požadavek nestačí.
Navíc ta hromada spywaru nutného pro funkci "moderních" Windows to celé táhla úplně jiným směrem, do master/slave architektury (kde oním otrokem je uživatel)
tl;dr na čumění na porno si nos vlastní notes ;-)
-
Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?
-
Pak by celá snaha o kontrolované a důvěryhodné prostředí firmy přišla vniveč. Nevidím důvod, proč by se firma měla vzdávat kontroly nad svým prostředím a přístupem.
-
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.
-
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.
Když jsme před mnoha lety přebírali doménu od externí firmy, tak jsem zjistil, že koníčkem jejich admina bylo projíždění fotek dámského osazenstva. Dámy si zálohovaly fotky z mobilu/foťáků na firemní kompy a už to bylo... Přišel jsem na to jenom díky tomu, že tohle prováděl (z mě neznámého důvodu) na DCčku pod accountem Admina a bylo to vidět v historii.
Myslet si, že admin nemůže být voyer, je bohužel naivní. Může. :-\
Soukromá data na počítač nepatří, speciálně pokud se jedná o korporát. Je to i pro bezpečí uživatele, protože nikdy nikdo nemůže vědět, co udělá admin. Nebo co udělá případný útočník, který se do domény dostane.
-
Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?
Dík. Mně by úplně stačilo, aby mi neviděl do dokumentů.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu. Pokud neduverujes adminu tak jdi za vedenim firmy, zdurazni ze mas hesla k atomovkam na svem firemnim notebooku a vedeni te budto nekam posle nebo ti da reseni. Muzes tady vymyslet co chces ale pokud je system v domene tak jako admin si udelam s tim systemem co chci a pokud budes obchazet pravidla tak te budto vyrazi nebo ti nainstalujou mo itorovaci sw ktery bude zaznamenavat uplne vse vcetne stisknuti klaves, pohybu mysi, videa,…
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu. Pokud neduverujes adminu tak jdi za vedenim firmy, zdurazni ze mas hesla k atomovkam na svem firemnim notebooku a vedeni te budto nekam posle nebo ti da reseni. Muzes tady vymyslet co chces ale pokud je system v domene tak jako admin si udelam s tim systemem co chci a pokud budes obchazet pravidla tak te budto vyrazi nebo ti nainstalujou mo itorovaci sw ktery bude zaznamenavat uplne vse vcetne stisknuti klaves, pohybu mysi, videa,…
A zase jsme se dostali pryč od jádra věci. Mně je u pr.. co mi admin udělá se systémem, jestli mi sebere profil, notebook nebo očmuchá myš, jde mi o obsah mých souborů Excel, Word, pdf apod. Jaký mi dá vedení řešení ? Ono teda nějaký existuje ? Sem s ním :-)
-
Ono teda někjaký existuje ? Sem s ním :-)
Neexistuje a existovat nebude.
Všechny výmysly, co tu padají, jsou naprosté kokotiny - od představy, že ti firma nechá běžet doménové widle ve virtuálu až po to, že si něco můžeš šifrovat (sice technicky můžeš, ale admin to vždy dokáže dešifrovat nebo si může počkat, až to dešifruješ ty a pak ty data sebrat).
-
jestli jde jen o to, aby ti do toho nikdo nevidel když se to válí ve složkách, tak třeba něco takového.
Šlo by to i přes obyčejný 7zip nejspíš. Pokud ti neseberou heslo od archivu, tak se tam nikdo snadno nedostane.
https://apps.microsoft.com/detail/9nsgbqsj2hd6?hl=cs-CZ&gl=IN (https://apps.microsoft.com/detail/9nsgbqsj2hd6?hl=cs-CZ&gl=IN)
https://www.youtube.com/channel/UCx8EKXRh_lR0K5SVHuzXyPQ (https://www.youtube.com/channel/UCx8EKXRh_lR0K5SVHuzXyPQ)
stálo mě to 5 sekund google -> windows file secure vault
nebo si napsat primitivní aplikaci, co ti všechny soubory ve složce převede na úplný nesmysly, pomocí vlastního šifrování
-
tohle je taky zajímevé řešení
https://www.windowscentral.com/how-password-protect-folder-windows-10 (https://www.windowscentral.com/how-password-protect-folder-windows-10)
pokud vím, tak jestli nemáš recovery key - tak to z toho nikdo snadno nedostnane i kdyby byl admin.
-
Pro: FKoudelka
Hele, jestli nejsi spokojený s tím jaký má tvůj stávající zaměstnavatel pravidla pro IT tak to můžeš vyřešit velmi rychle výpovědí.
Už to proboha přestaň řešit.
Prostě chceš slyšet nějakou radu jak to očůrat, jak na "admina" vyzrát, ale stále nechápeš že on má možnost to klidně zformátovat a nahrát nový image.
-
A zase jsme se dostali pryč od jádra věci. Mně je u pr.. co mi admin udělá se systémem, jestli mi sebere profil, notebook nebo očmuchá myš, jde mi o obsah mých souborů Excel, Word, pdf apod. Jaký mi dá vedení řešení ? Ono teda nějaký existuje ? Sem s ním :-)
Ne, to jsme se zas dostali k jádru věci. Tohle se musí vyřešit procesně, nikoliv technicky: Vedení ti buď řekne "ok, tohle je legitimní případ, tady máš výjimku a v doméně tenhle stroj být nemusí," nebo ti řekne "přestaň si stěžovat a dělej, co se ti řeklo." A pak je řešení buď odejít pracovat jinam, nebo se s tím smířit a plnit příkazy. Protože pokud admin bude chtít, tak se ke všem souborům, které používáš, prostě dostane - když bude muset, tak přes keylogger nebo monitorování operací se soubory.
Nejde jen o samotné možnosti domény, ale hlavně o to, že jako doménový správce ti tam může nainstalovat libovolný spyware (pardon, corporateware) a přes ten pak může dělat cokoliv.
-
Pro: FKoudelka
Hele, jestli nejsi spokojený s tím jaký má tvůj stávající zaměstnavatel pravidla pro IT tak to můžeš vyřešit velmi rychle výpovědí.
Už to proboha přestaň řešit.
Prostě chceš slyšet nějakou radu jak to očůrat, jak na "admina" vyzrát, ale stále nechápeš že on má možnost to klidně zformátovat a nahrát nový image.
Ja tiez nechapem co sa tu neustale riesi. Prikaz ocividne znel jasne, ten PC musi byt v domene. Ked ho tam FKoudelka nechce dat, tak nech su kupi druhy PC a ten si tam da. Namiesto toho sa tu vymyslaju pi<>viny na styl antiradaru na autach a toho ako nasledne argumentovat s policajtom ktory ta aj tak zastavi ze ten antiradar vlastne neni protizakonny.
Niektori ludia namiesto toho aby sa riadili pravidlami len hladaju sposob ako vsetko ochcat. Navyse FKoudelka pisal ze pracuje ako IT security. To znamena ze on sam musi velmi dobre vediet preco ten PC chcu v domene (bezpecnost) a aj napriek tomu tu trucuje ako male decko. Ja mat takeho zamestnanca tak uz ho upozornim ze nech sa spameta alebo pojde do prec. Ked je niekto kolenovrt co si nemieni kupit dalsi notebook 1*) na to aby oddelil sukromne veci (a to nie je len o datach, ale najma o programoch ktore mozu mat zranitelnosti) a pracovne veci, ziadna firma neni povinna tolerovat take bezpecnostne riziko.
1*: ako zamestnanec dostanes notebook kde su uz tie rozne firmene ochrany (antivir, firewall, ...) a spehovatka nainstalovane. Ako kontraktor vacsinou pracujes na svojom, to ale znamena ze musis akceptovat firemne security pravidla a nainstalovat si co potrebujes, preto kazdy rozumny clovek ma druhy dedikovany pc/notebook
-
...Díky, ale tento typ rad je irelevantní...
Irelevantni je predevsim tvuj dotaz. Videl sem uz na firemnich strojich ledacost, treba i domaci porno, dotycny byl na minutu vykopnut.
Ty zjevne vubec netusis jake jsou tve pravni povinosti, natoz abys tusil, co pripadne hrozi zamestnavateli, kdyz se na jeho HW neco takoveho objevi. A klidne se to muze zcela "samo" objevit verejne na netu.
Na firemnim HW proste nemaji soukroma data vubec co pohledavat, a ty nemas co v pracovni dobe se zaobirat nejakym soukromym souborem.
Ve windows je uživatelský profil standardně nepřístupný pro admina (lhostejno, zda lokálního nebo doménového). Dále lze u vytvořeného adresáře odebrat všechna práva a admin má opět smůlu. Obojí jsem zažil - Win10 + AD2016.
Zjevne ses "odbornik" ... uzivatelsky profil si zpristupnim lusknutim prstu, a libovolne soubory na disku jakbysmet. Zato ty dostanes obratem padaka, kdyz tam najdu co tam nema co pohledavat.
... tak může instalovat třeba i software na screenshotování obrazovky...
Nato netreba nic instalovat, to uz zvladaji widle nativne. A muzes si klidne pustit "tichou" rdp session = user netusi ze se divas.
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, ...
Admin na to ma nejaky tool, a treba sleduje, ktery dmentni uzivatel ma zase plny disk, nebo miliardu souboru na plose atd atd atd. A kdyz mu takovy nekde vyskoci, tak se jde podivat, co to tam jakoze ma (velmi teoreticky to muzou byt pracovni veci a muze to mit nejaky duvod ...) ... a pripadne to posle rovnou na prislusneho sefa.
A jsou veci, ktere se cilene sleduji - filmy, mp3, ... protoze FIRMA na to nema licenci, a narozdil od soukromnika si to NEMUZE stahovat pro vlastni potrebu. A presne za tohle muze kdokoli kdekoli dostat okamzitou vypoved (napriklad).
Pricemz viz vejs, krom toho DP jsem takhle na firemnich strojich videl treba kompletni rodinou anamnezu ... fotky hromady vsemoznych dokladu, soukrome faktury ...
A to vsechno tam nema co pohledavat, protoze se to pak i zalohuje a archivuje a firma takova data vubec mit nesmi, hrozi ji za to stovky mega pukut, proto takova data nesmi byt na firemnim HW.
... k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, ...
Samozrejme ze dostane ... zdaleka nejprimitivnejsi zpusob bude se pripojit na tvoji prihlasenou session. Samozjreme si muzu zmenit tvoje heslo, a prihlasit se proste na tebe, to je taky moznost. Atd atd atd ... vcetne toho, ze systemu naridim, sifrovani zrusit.
-
Díky, zkusím ten Veracrypt.
-
Díky, zkusím ten Veracrypt.
uvedomujes si ze ked tie veci odsifrujes, tak su doslova v "plain text forme"? Alebo ako si asi myslis ze ten veracrypt funguje? Ci mienis teraz, ja neviem budes tam pracovat napr cely dalsi rok, tak ten rok si ani len neotvoris sukromne veci na tom notebooku? Budu tam iba tak sediet zasifrovane a chytat prach? Ci si myslis ze po pracovnej dobe sa vsetko firemne vypne?
Ako som povedal, ak chces aby z tich suborov nikto nic nemal (vratane teba), tak si ich zasifruj na inom PC, prenes ich na ten tvoj sukromno/pracovny notebook, a viac krat sa ich nedotkni.
-
Díky, zkusím ten Veracrypt.
A dovoluje bezpečnostní politika firmy instalaci softvéru uživateli?
-
Díky, zkusím ten Veracrypt.
Být Váš šéf a tohle číst, tak si spolu popovídáme o ochraně firmy a pokud s tím máte problém, okamžitě byste změnil lokál.
Ani v malém (takřka rodinném měřítku) nedovolím na firemních počítačích jakákoliv soukromá data, respektive data, která ze zákona nesmí mít, nebo na které nemám licenci. Což jsou mj. třeba naskenované lékařské údaje dětí, filmy, nebo hudba. Firma vynakládá prostředky do IT a jeho správy proto, aby chránila svá data a sama sebe, třeba právě před takovými frustrovanými jedinci, které nic jiného nezajímá, než co sami chtějí. Odnesl bych to já (firma).
Admin je tam se svými možnostmi od toho, aby zajistil funkčnost, ochranu dat a zájmy firmy. Tak už to pochopte, že do firemního IT prostě nemůžete zasahovat a nemají tam co dělat ani Vaše soukromá data. Lidsky to třeba pochopit jde (potřebujete něco oskenovat, poslat, …), jenže právníci to potom budou vidět jinak.
Proti možnostem správce a bezpečnostní politikou nemáte sebemenší šanci, s tím se smiřte a pořiďte si vlastní HW, nebo si najděte jinou firmu, kde na nějakou bezpečnost z vysoka kašlou.
P.S.: Smazat ... není triviální, protože když se taková data dostanou např.: na páskové knihovny (offline archivace), tak z toho něco vymazat jen tak nejde.
-
Díky, zkusím ten Veracrypt.
A uvedomujes si, ze admin muze logovat co jsi napsal a klidne si pak pripojit tvuj sifrovany kontejner, ze? Furt nechces pochopit ze admin si se systemem udela cokoliv a tve hesla k atomovkam jsou v ohrozeni…
-
Díky, zkusím ten Veracrypt.
A uvedomujes si, ze admin muze logovat co jsi napsal a klidne si pak pripojit tvuj sifrovany kontejner, ze? Furt nechces pochopit ze admin si se systemem udela cokoliv a tve hesla k atomovkam jsou v ohrozeni…
Myslím, že jste mi to už dostatečně vysvětlili. Hackování není totéž jako zvědavost a o tu mi jde.
-
Nejbezpecnejsi reseni je dualboot - jeden os firemni v domene a druhy soukromy. A pak sifrovana datova partition, kterou si pripojis k tomu soukromemu os. Soukroma data bych do domenoveho pc nedaval. Leda bych si byl jisty nastavenim domeny a byl na urovni, ze bych znal vsechny firemni politiky. Na firemnim - domenovem pc ti klidne nekdo muze koukat prez rameno a ani o tom nevis. Pripadne firemni pc virtualizovat.
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu. Mě zase příjde že to je někdo, kdo se stará o více českých firem z jednoho stroje. Nemusí být vůbec zaměstnanec. Navíc to ani není žádný mega korporát, když doménu řeší až teď.
Tento dotaz mi ani nepříjde nesmyslný, například znám spoustu paranoidních šéfů a majitelů firem, kteří i přes všechny firemní politiky IT mají počítače kompletně mimo jakoukoliv správu aby jim nikdo nekoukal do dokumentů. Nebo když je firma v Microsoftím vesmíru, tak si pořizují Apple, aby tam nic z toho schválně nešlo dát.
Jinak soukromá data zajímají pouze auditory a ty jsou povoláni bud na udání, nebo kvůli zakázce a certifikaci. Jinak si jich nikdo nemusí 20 let všimnout.
Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu. Mě zase příjde že to je někdo, kdo se stará o více českých firem z jednoho stroje. Nemusí být vůbec zaměstnanec. Navíc to ani není žádný mega korporát, když doménu řeší až teď.
Tento dotaz mi ani nepříjde nesmyslný, například znám spoustu paranoidních šéfů a majitelů firem, kteří i přes všechny firemní politiky IT mají počítače kompletně mimo jakoukoliv správu aby jim nikdo nekoukal do dokumentů. Nebo když je firma v Microsoftím vesmíru, tak si pořizují Apple, aby tam nic z toho schválně nešlo dát.
Jinak soukromá data zajímají pouze auditory a ty jsou povoláni bud na udání, nebo kvůli zakázce a certifikaci. Jinak si jich nikdo nemusí 20 let všimnout.
Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...
Díky za podporu. Dost blízko
-
Když už jsme u těch extrémních příkladů, jak víš, že si tam nechce zřídit třeba distribuci ilegálního obsahu?
Před čtyřmi lety mi odešla účetní a nechala mi na disku fotky svých malých dětí, jak se koupou, … zkrátka takové maminkovské věci. Když jsme pak o tom mezi řečí u pravidelného ročního selátka a piva bavili, přítomný kamarád nám to i se správcem a celým mančaftem vysvětlil hezky, kdyby na to nějaký blbec nasadil paragrafy. Nic příjemného, jakkoliv nevinný, nechtěný a zapomenutý pozůstatek jedné maminky.
Tvou víru v rozumné lidi znající míru nesdílím, u velkých společností tuplem ne a je otázkou, zda si to neuvědomují (viz účetní), nebo je jim to jedno protože můžou, mají nárok…
Nedivím se, že se firmy podobným scénářům brání a předchází problémům.
-
A na cloudu takové věci nemáš? Má je tam miliardy lidí, fotky koupajících se dětí. Nebo se něco změnilo a už je to také zakázáno?
Taky z toho kvete byznys potom na černém trhu. Fotky celebrit, děcek, ...
Ve výsledku tedy zakážeme všechno všude navždy! A zapomeneme, že jsme jen lidi.
Já když to tady čtu tak už přesně chápu, proč si lidi o ajťácích myslí svoje. A to můžu vynechat i tu skupinu, co se vzpírá až moc.
-
Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.
Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš. Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.
P.S.: Pro hnidopichy, nepočítám TC/VC šifrované kontejnery apod.
-
Chceš říct, že admin mi uvidí do iCloudu ?
Pokud máš ty soubory stažené na lokální úložiště, tak samozřejmě.
-
Díky, ale tento typ rad je irelevantní, další už komentovat nebudu. Zajímá mne technická stránka.
O obskurní činnost mi nejde, ale nemusí každý vidět mé soukromé dokumenty. Svůj NB mám, ale u tohohle a jeho předchůdců sedím už 20 let 5x8, nebudu mít otevřené dva NB.
To je z hlediska pracovního práva přístup zcela chybný. Pokud nechceš, aby ti koukal do tvých dat, odsuň je na privátní nebo veřejný cloud a pracuj s nimi jen skrz prohlížeč, ideálně z virtuálního stroje s bitlockerem nebo veracryptem šifrovaným virtuálním diskem. Nebo ještě jednodušeji si doma pusť desktop a se soukromými daty pracuj na dálku skrz RDP / UltraViewer / AnyDesk / RealVNC.
-
No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?
Jistě, třeb VeraCryptem. Ale z pohledu pracovního práva je to bez schválení zaměstnavatelem protiprávní.
-
Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?
Troufnu si s naprostou jistotou tvrdit, že připojení takové mašiny do firemní sítě bude v rozporu s bezpečnostní směrnicí a důvodem pro okamžité rozvázání pracovního poměru bez odstupného z důvodu závažného porušení pracovní kázně.
-
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.
Stále nechápu, proč si všichni myslí, že to je náplní práce firemního admina.
Celé to má příčinu v tom, že firemní admin nese pracovněprávní a leckdy i trestní odpovědnost za to, co se ve firemní infrastrukuře a zařízeních děje. Na tvoje soukromé soubory kálí pes.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Dostane. Protože pokud má práva lokálního admina, může si přidělat přístupová práva v ACL, a následně dostane dešifrovací klíče.
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké (...)
Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
-
Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.
(...)
1) zrovna v případě OneDrive se kontrola na výskyt dětského porna provádí pouze na sdílených složkách.
2) doslova vůbec nic ti nebrání si koupit NAS a dát si to na něj.
-
Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.
Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš. Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.
P.S.: Pro hnidopichy, nepočítám TC/VC šifrované kontejnery apod.
Tak teď jsi mě dost urazil. Jestli chceš diskutovat o dětském pornu nebo ilegálním obsahu v souvislosti s mým dotazem, nedělej to, založ si vlastní vlákno nejlíp na jiném, relevantnějším fóru.
Víš o mém zaměstnání a o mé motivaci kulový a jelikož chci, aby to tak zůstalo, nemohu se pochopitelně obhajovat.
Účastním se diskuzí od dob BBS na vytáčené lince, pamatuju začátky internetu, mailu a odborných diskuzních skupin, pravda, zahraničních. Diskuse byla vždy k věci. Tohle by se netrpělo. Proč nezkusíš takhle debatovat třeba na Linkedin ? Neříkám, že fórum na rootu je lokálně to nejhorší, ani že v cizině je to pořád tak korektní, ale to neznamená, že je to dobře, ani že by se to nemohlo zlepšit. Admine, prosím, toto mé vlákno zamkni nebo smaž. Dík všem, co poskytli konstruktivní rady.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu…
Takže mi chcete říct, že to šifrování je tam k ničemu? Že si ho Microsoft vymyslel, protože měl zrovna dobrou náladu, a lidi mu to žerou? Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ne obecné zmínky typu „admin může“ (protože jsou situace, kdy ani admin nemůže a tahle by mezi ně měla patřit). Protože zmínky na internetu o tomto způsobu zabezpečení souborů vedou k tomu, že obsah souborů může vidět jen ten, kdo je zašifroval. Uživatel s admin právy může vidět samotné soubory, ale ne jejich obsah. Protože právě od toho tam to šifrování je. Mimo jiné je na tom postavená třeba technologie Always encrypted v MS SQL serveru, kde se počítá s tím, že admin nemůže vidět data takto zašifrovaná (a ten způsob zašifrování je prakticky stejný jako u těch souborů na disku - je k tomu certifikát v profilu uživatele, který může vidět pouze uživatel pod svým přihlášením, pokud mu někdo násilně nezměnil heslo, protože pak o ten přístup přijde).
A opravdu nepočítám situace, kdy má admin v mém profilu nasazené šmírovátko, které mu pod mým přihlášením ty soubory zpřístupní, protože to systém bude brát tak, že mám ty soubory otevřené já (což samozřejmě udělat může).
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu.
...
Já nemoralizuju, já upozorňuju, že pokud chce mít jistotu, že mu to nikdo nemůže přečíst, tak to to na počítači, jehož není správcem, prostě nejde udělat. A i v tom korporátu spousta věcí běžně (v rozumné míře) projde. Ale můžou se vytáhnout třeba ve chvíli, kdy bude potřeba někoho vyhodit. Můžou, nemusí - pointa je v tom, že nikdy nevíš, co přesně se kde sbírá, loguje, ukládá, a kdo a jak to hlídá či nehlídá.
Jestli nejde o obranu před někým, kdo ví, co chce a jak toho dosáhnout, ale jen o ochranu před náhodným (třeba neúmyslným) únikem dat, tak stačí prakticky cokoliv - zaheslovaný zip, veracrypt, zaheslované pdf... Ale nic z toho nepomůže, pokud admin bude čmuchat kolem a chtít ten přístup. Plus nezapomínejme na lámání hesel variantou na gumovou hadici: "Co tady máš v tom souboru? Dešifruj to." "Nedešifruju, do toho vám nic není." "Takže soukromá data? To je porušení článku X.Y, závažné porušení kázně, máš padáka."
Pokud je tazatel kontraktor pro několik různých firem (ne osvč na švarcu), tak většinou nedává moc smysl, aby v nějaké cizí doméně byl. Leda by to byla ta výroba atomovek, ale tam zas budou úplně jiná bezpečnostní opatření.
Takže mi chcete říct, že to šifrování je tam k ničemu? Že si ho Microsoft vymyslel, protože měl zrovna dobrou náladu, a lidi mu to žerou? Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ... A opravdu nepočítám situace, kdy má admin v mém profilu nasazené šmírovátko, které mu pod mým přihlášením ty soubory zpřístupní, protože to systém bude brát tak, že mám ty soubory otevřené já (což samozřejmě udělat může).
To mi připomíná klasiku:
Reg : All right, but apart from the sanitation, medicine, education, wine, public order, irrigation, roads, the fresh water system and public health, what have the Romans ever done for us?
Attendee : Brought peace?
Reg : Oh, peace - shut up!
Snad nikdo tu nezpochybňuje šifrování obecně. Argument je, že když admin bude chtít, tak si ty přístupové údaje opatří třeba keyloggerem a tedy nejde mít 100% utajení a přitom tam ty soubory otvírat. Ale to je přesně to, co nepočítáte...
-
WIFT: sifrovaci klice uzivatelu muze AD admin zalohovat. A to znamena, ze je taky muze obnovovat. A to treba i na jinem pocitaci. A na ten pocitac si muze zkopirovat zasifrovane soubory/slozky. Atd.
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí, práce 100% HO, v zásadě volná pracovní doba, firemní NBK jsem si komplet instaloval i přidával do domény sám). Sice mi už náš sekuriťák loni říkal, že by bylo lepší, kdybych si na některé soukromé věci pořídil vlastní notebook, ale když jsem mu odpověděl, že v tom případě žádný pracovní notebook nepotřebuju a že mi stačí vytvořit ve firmě nebo v cloudu nějaký virtuální stroj, ke kterému se ze svého soukromého notebooku připojím, tak jen podotknul, že bych ho pak stejně musel mít pod doménovou politikou s nasazeným firemním antivirem a firewallem, takže by to vlastně nic neřešilo - a tím celá diskuze zase skončila.
-
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,
To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.
-
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).
Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Ne. To šifrování je tam pro ochranu dat před zneužitím v důsledku spáchání trestního skutku neoprávněného užití výpočetního prostředku, nikoli před oprávněným užitím funkcí systému adminem.
Funguje to tak, že se aplikuje asymetrická šifra, přičemž k privátnímu klíči nutnému pro de/šifrování mají přístup držitelé (přesněji SID) práva alespoň Read.
Admin ve výchozím stavu práva k souboru nemá, tedy nemá ani privátní klíč.
Ale admin si může přidělit práva v rámci svých pravomocí vyplývajících z členství ve skupině Administrators, a tím přístup k privátnímu klíči dostane a je pak schopen soubory přečíst.
Jejich eventuální zneužití pokrývá trestní zákon.
Stále platí, že uživatel který nemá práva k tomu, aby si přístupová práva přidělil, se k souborům nedostane.
-
Protože právě od toho tam to šifrování je. Mimo jiné je na tom postavená třeba technologie Always encrypted v MS SQL serveru, kde se počítá s tím, že admin nemůže vidět data takto zašifrovaná (a ten způsob zašifrování je prakticky stejný jako u těch souborů na disku - je k tomu certifikát v profilu uživatele, který může vidět pouze uživatel pod svým přihlášením, pokud mu někdo násilně nezměnil heslo, protože pak o ten přístup přijde).
Můžu tě ujistit, že pokud si uživatel s členstvím v patřičné SQL roli (ať už db_owner, nebo sysadmin nebo server_admin) v SQLku přiřadí členství v roli datareader, tak si ta data přečte úplně stejně jako každý jiný autorizovaný uživatel.
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.
-
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,
To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.
Trestní zákoník, §230, odst.2)d). Žádnou směrnici a firemní fašismus nepotřebuješ.
-
Kde není žalobce, tam není soudce. Takže reálně prochází různé věci různě a ten paragraf začne být zajímavý až ve chvíli, kdy se k tomu dostane policie. Vždycky ale existuje riziko, že se tolerantní přístup náhle změní, nebo že to výrazně zhorší pozici někoho, když bude jiný průser. Pokud člověk pustí dovnitř firmy vetřelce a ukáže se, že na tom počítači chodil na porno a měl warez, bude na tom nejspíš o dost hůř, než když otevřel pdf z emailu, který se tvářil, že je od pana ředitele.
-
Přesně o tom mluvím.
Toleruje se to jen tak dlouho, dokud není průšvih nebo není potřeba někoho potopit, protože to se může hodit vždycky.
Jde o to, že pokud nemáš soukromé použití techniky písemně schváleno zaměstnavatelem, vydáváš se mu na milost i když se žádný problém nestane.
V reálu to vůbec nechceš řešit, protože tam máš obrovská rizika, i když žádná škoda nevznikne. Protože to provinění je tam VŽDYCKY, a jako takové proti tobě může být v plném rozsahu použito doslova kdykoli.
-
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,
To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.
Trestní zákoník, §230, odst.2)d). Žádnou směrnici a firemní fašismus nepotřebuješ.
U soudu je soudce, který rozhodne, jestli soukromý mail na firemním počítači je odstavec 2)d). A on tak nerozhodne. Takový judikát neexistuje. Vyboxovat si, že soukromý mail je neoprávněné vložení dat podle 2)d) je teoreticky možné, ale byl by to běh na dlouhou trať s velmi nejistým výsledkem.
Takže rozhodně potřebuješ interní směrnici.
A interní směrnice nestačí. Je potřeba ji aktivně vynucovat (a pro všechny stejně). Pokud máte interní směrnici, že soukromé maily se číst nesmí, ale nikdo to nevynucuje a lidé běžně soukromé maily na firemních počítačích čtou (a nikdo je netrestá), tak je velmi malá šance, že by soud posvětil takovou šikanu, že za to bude trestán jeden konkrétní zaměstnanec. Na tohle je judikátů spousta (asi ne přímo z IT vnitřních předpisů, ale z obecných vnitřních předpisů ano).
-
Jenže to bude platit jen za předpokladu, že půjde JENOM o použití k soukromým účelům. Ve chvíli, kdy z toho vznikne škoda kvůli např ransomwarovému útoku, tam bude soud o náhradu škody, který zaměstnanec prohraje, protože strop na násobek platu platí jen v případě, že škoda nevznikla v důsledku protiprávního jednání.
-
Jenže to bude platit jen za předpokladu, že půjde JENOM o použití k soukromým účelům. Ve chvíli, kdy z toho vznikne škoda kvůli např ransomwarovému útoku, tam bude soud o náhradu škody, který zaměstnanec prohraje, protože strop na násobek platu platí jen v případě, že škoda nevznikla v důsledku protiprávního jednání.
Jsem na tenkém ledě, ale hádám, že 2)d) musíte spáchat vědomě a úmyslně, že ho nemůžete spáchat z nedbalosti, takže vám ho při stahováním soukromých mailů, ze kterých vyskočí ramsomware nepřišijí.
Strop na 4,5násobek platu se ruší při opilosti a úmyslném jednání (protiprávní jednání nehraje roli).
-
WIFT: sifrovaci klice uzivatelu muze AD admin zalohovat. A to znamena, ze je taky muze obnovovat. A to treba i na jinem pocitaci. A na ten pocitac si muze zkopirovat zasifrovane soubory/slozky. Atd.
OK, tohle je relevantní odpověď, díky.
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.
Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.
Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.
Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.
Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".
Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.
-
Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?
děkuji.
-
Nejlepším řešením jsou dvě zařízení, což nechceš. Pokud ti jde o záložky, tak tam stejně bude mít vždy administrátor přístup, minimálně síťový, protože bude probíhat hloubková analýza paketů.
Ale pokud chceš mít své záložky, soubory atd., vyzkoušel bych https://kasmweb.com/ (https://kasmweb.com/)
-
Zopper, a podobní: Soukromá data na firemním stroji, byť by to porušovalo interní směrnice, se nepovažují za Hrubé porušení pracovní kázně, takže hrozí možná tak vytýkací dopis, a pak další, pokud nekázeň pokračuje, a pak se můžeme bavit o výpovědi. O žádném padáku na hodinu rozhodně nemůže být řeč.
A jak se píše dále, dodržování interní směrnice se musí vymáhat po všech zaměstnancích, nejde ji využít pro zbavení se konkrétního zaměstnance, a ostatním stejné jednání tolerovat.
Právníci, co tu vytáhli §230TZ: Já pochopil, že ten noťas patří tazateli, který si nepřeje, aby mu tam šmejdila firma. Takže defakto ten paragraf porušuje firma. :-D
Pro tazatele: Jako kontraktor si sjednej podmínky podle představ. Jako zaměstnanec měj oddělený pracovní a soukromý stroj.
-
Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš. Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.
Nerozumím tomu, co to má společného s mým textem zde.
A na cloudu takové věci nemáš? Má je tam miliardy lidí, fotky koupajících se dětí. Nebo se něco změnilo a už je to také zakázáno?
Taky z toho kvete byznys potom na černém trhu. Fotky celebrit, děcek, ...
Ve výsledku tedy zakážeme všechno všude navždy! A zapomeneme, že jsme jen lidi.
Já když to tady čtu tak už přesně chápu, proč si lidi o ajťácích myslí svoje. A to můžu vynechat i tu skupinu, co se vzpírá až moc.
Nemám nic společného s tím, že jsi se na hobby portálu poštěkal s místními moderátory a poté ?dobrovolně? odešel.
Samotnému se mi to tam stalo také. Jen mě to neurazilo natolik, abych odešel.
Jsme jen lidi.
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. ...
Hele, adminuju X ruznych firem, samozejme zcela bezne pouzivaji AD. Nemam a nikdy mit nebudu libovolny svuj stroj prirazen libovolne domene. Je to naprosty bezpecnostni nesmysl. Vzdy existuje nejaky vstupni bod ke kteremu se prihlasim prislusnym domenovych uctem (pripadne certifikatem ...), a rozhodne na to nepotrebuju mit svuj HW v domene. V extremnim pripade budu pouzivat HW patrici zakaznikovi (existujou infrastruktury do kterych se proste z neautorizovaneho HW nepripojis). Stroje se totiz davaji do AD prave proto, aby nad nimi byla 100% kontrola. Bez ohledu na to kde jsou a kdo je pouziva.
FKoudelka rozhodne nikde nic neadminuje, protoze zcela zjevne nema ani tuseni jake moznosti administrator ma.
...
Nekteri proste nechapou zakladni veci ... v kazdy firme ktera chce jeste zitra existovat mas nastaveny nejaky procesy, a prave reseni legality dat je jednim z nich. A probiha to typicky v nejakych cyklech + namatkove. Viz co sem psal vejs, nekdy ani primane nejdes resit legalitu, ale jdes se podivat, proc se ti profil usera ze dne na den zvetsil o 50GB ... a zjistis, ze proto, ze si tam ulozil soukrome fotky z dovolene ... nebo aktualni kasahit v BRD ripu ... za dalsi hodinu to budes mit v zaloze, a zitra v archivu ...
...
Co si das ty soukrome do cmoudu je tvuj problem. Co das na firemni HW je problem te firmy. A jak tu bylo receno, zkus na verejny cmoud nahrat fotku, ktere jen vypada jako nahe dite, nebo bradavka. Papa ucet ...
... Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ne obecné zmínky typu „admin může“ ...
Co presne nechapes na tom, ze kliknu pravym na tvy jmeno, dam "nastavit heslo" a prihlasim se? A voiala ... vidim vsechny tve zasifrovane soubory.
Samozrejme to muzu udelat asi tak tisicem dalsich zpusobu. Co na treba nechapes na tom, ze si proste reknu o export TVEHO sifrovaciho certifikatu, a naimportuju si ho do libovolneho jineho profilu? To se narozdil od te zmeny hesla vubec nedozvis.
Co nechapes na tom, ze se data musi zalohovat, a aby se dala zalohovat, tak se bud zalohuji nesifrovana nebo ... vcetne tech sifrovacich klicu? A zase, ty nemas vubec jako uzivatel jak zjistit jak to probiha a jak je to nastaveno.
Sifrovani na widlich je primarne proto, aby si data neprohlizeli dalsi uzivatele. Pripadne aby nebyla pristupna po fyzicke ztrate HW. Neni to ochrana pred adminem.
Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?
děkuji.
Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.
-
Co presne nechapes na tom, ze kliknu pravym na tvy jmeno, dam "nastavit heslo" a prihlasim se? A voiala ... vidim vsechny tve zasifrovane soubory.
No ale takhle to právě nefunguje. Ten klíč je v profilu, ale zašifrován tím heslem. :) Když admin natvrdo změní heslo, tak o něj příjde (pravda, když se ho nějakou jinou metodou zjistí a setne se zpátky na to původní, tak to zase začne fungovat, stejně jako platí, když se to zkopíruje do jiného profilu, ale bez původního hesla ani ránu)
Každopádně ale platí zbytek argumentů (přes GPO se tam dá dát recovery klíč, nebo keylogger, ....), takže argument je správně, jen to není tak úplně jednoduché jako první odstavec. https://learn.microsoft.com/en-us/windows/security/information-protection/windows-information-protection/create-and-verify-an-efs-dra-certificate
Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.
A nebo taky ne. Vystrašit někoho něčím ještě neznamená, že obsah strašení je pravdivý. Zvlášť v případě zcela extenzivního výkladu fotek s dovolené coby tr. činu. - to by snad ani u našich soudů neprošlo.
-
Zopper, a podobní: Soukromá data na firemním stroji, byť by to porušovalo interní směrnice, se nepovažují za Hrubé porušení pracovní kázně, takže hrozí možná tak vytýkací dopis, a pak další, pokud nekázeň pokračuje, a pak se můžeme bavit o výpovědi. O žádném padáku na hodinu rozhodně nemůže být řeč.
Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.
A nebo taky ne. Vystrašit někoho něčím ještě neznamená, že obsah strašení je pravdivý. Zvlášť v případě zcela extenzivního výkladu fotek s dovolené coby tr. činu. - to by snad ani u našich soudů neprošlo.
Fotky z dovolené samozřejmě ne. Ale pokud ty "soukromé soubory" budou kolekce warezu, obzvlášť takového, co by mohl být použitý pro práci, ideálně i nainstalovaný na tom pc (protože celá diskuze je o tom, že "nechci mít soukromý pc, když už mám pracovní"), tak tam už bych se hodinové výpovědi nedivil. A v tu chvíli bude většina lidí ráda, že to skončí jen vyhazovem a ne oznámením na policii, ať už si ty warez torrenty před příchodem do kanceláře vypínali, nebo ne.
-
Fotky z dovolené samozřejmě ne. Ale pokud ty "soukromé soubory" budou kolekce warezu, obzvlášť takového, co by mohl být použitý pro práci, ideálně i nainstalovaný na tom pc (protože celá diskuze je o tom, že "nechci mít soukromý pc, když už mám pracovní"), tak tam už bych se hodinové výpovědi nedivil. A v tu chvíli bude většina lidí ráda, že to skončí jen vyhazovem a ne oznámením na policii, ať už si ty warez torrenty před příchodem do kanceláře vypínali, nebo ne.
Fotky z dovolené jsou asi OK, ale v moderním korporátu je za zapomenutý keygen.exe na zasunuté flešce vytýkací dopis. Různé fortinety, crowdstriky, avecta a další podobná havěť drží uživatele pěkně zkrátka a reportuje kde co...
-
Příjde mi, že to tady s tím moralizováním dost přeháníte. ...
FKoudelka rozhodne nikde nic neadminuje, protoze zcela zjevne nema ani tuseni jake moznosti administrator ma.
Tak ted nevim, zda se mám zase na.rat , nebo se smát tomu, že si myslíš, že se administrují jen Widle nebo, že neexistuje nikdo, kdo doménu nikdy nepoužíval, protože nepotřeboval.
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.
Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.
Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".
Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.
Pak není divu, že na soudě mají z inženýrů srandu :-)) Promiňte doktore
-
To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.
Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.
Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.
Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".
Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.
Pak není divu, že na soudě mají z inženýrů srandu :-)) Promiňte doktore
“Vážená paní soudkyně, dovolte abych vám vysvětlil význam ustanovení §…” To je citát z jednání :-)
-
Co si das ty soukrome do cmoudu je tvuj problem. Co das na firemni HW je problem te firmy. A jak tu bylo receno, zkus na verejny cmoud nahrat fotku, ktere jen vypada jako nahe dite, nebo bradavka. Papa ucet ...
Což tu bylo již vyvráceno s tím cloudem.
A myslím, že je to zbytečné více rozvádět.
-
...Tak ted nevim, zda se mám zase na.rat , ...
To se klidne naser, protoze root na linuxu ma moznosti uplne stejne, a ten stroj v zadne domene vubec byt nemusi, kdyz sem jeho admin, tak sem admin a muzu vsechno. Ackoli se predevsim soudruzi z ms snazi tomu adminovani hazet klacku pod nohy cim dal vic.
-
Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?
děkuji.
Od kdy přesně máme precedenční právo?
V ČR sice mají soudy povinnost k předchozím rozhodnutím přihlížet, ale nemají povinnost se jimi řídit. To platí jen pro judikáty NSS a ÚS a jejich tzv právní věty.
-
Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?
děkuji.
Od kdy přesně máme precedenční právo?
V ČR sice mají soudy povinnost k předchozím rozhodnutím přihlížet, ale nemají povinnost se jimi řídit. To platí jen pro judikáty NSS a ÚS a jejich tzv právní věty.
Třeba chtěl výsledky minulých kauz, aby se na vlastní oči přesvědčil, jak se tyto zložiny potírají.
A já se přidávám, výpovědi na hodinu za vlastní data na pracovních strojích jsou nesmysl. Takže by mě nějaký příklad zajímal.
-
tohle je taky zajímevé řešení
https://www.windowscentral.com/how-password-protect-folder-windows-10 (https://www.windowscentral.com/how-password-protect-folder-windows-10)
pokud vím, tak jestli nemáš recovery key - tak to z toho nikdo snadno nedostnane i kdyby byl admin.
Pokud je správně nastavena AD politika, tak běžný user končí u bodu 2, kdy mu systém nahlásí, že nemá přístup ke správci disků. Pokud by i mohl vytvořit virtuální disk, tak jestli není admin blázen, tak je nastaveno, že šifrovat bitlockerem jakýkoliv disk jde jen pokud je dostupná doména a klíč pro obnovení se ukládá do AD.
Co když by některý důležitý člověk z firmy zapomněl heslo k zašifrovanému disku, kde jsou životně důležitá data pro firmu? A opravdu nelze spoléhat na usera, že když si rozhodne něco zašifrovat, že si klíč třeba vytiskne a uloží do trezoru.
-
Od kdy přesně máme precedenční právo?
Kde vidíte jakýkoli argument vztahující se k precedenčnímu právu?
Ten argument je celkem simple - přestože tu máme ten zákon (s drobnými updaty) už 15 let, a přestože se podobné případy zcela evidentně stávají každodenně, takže jinak řečeno dataset je obrovský, ukažte mi jediný případ, kdy jakýkoli soud připustil podobně zvrácený výklad a odvolačka mu to neomlátila o hlavu.
-
Frantiskovi rodice to meli hodne tezke... Ne a ne pochopit zakladni veci, mele si furt to sve i kdyz o tom vi prd a ne a ne akceptovat, ze jako admin v domene budu mit pristup k "jeho" datum na firemnim pocitaci v domene kdykoliv budu chtit. Frantisek "adminuje" leda tak zavoru na parkovisti.
-
Díky, zkusím ten Veracrypt.
uvedomujes si ze ked tie veci odsifrujes, tak su doslova v "plain text forme"? Alebo ako si asi myslis ze ten veracrypt funguje? Ci mienis teraz, ja neviem budes tam pracovat napr cely dalsi rok, tak ten rok si ani len neotvoris sukromne veci na tom notebooku? Budu tam iba tak sediet zasifrovane a chytat prach? Ci si myslis ze po pracovnej dobe sa vsetko firemne vypne?
Ako som povedal, ak chces aby z tich suborov nikto nic nemal (vratane teba), tak si ich zasifruj na inom PC, prenes ich na ten tvoj sukromno/pracovny notebook, a viac krat sa ich nedotkni.
No jednoduše, v práci unmounted a doma dle potřeby. Stejně mám většinou HO. Ale dík.