Ochrana soukromých souborů na PC v doméně Windows

[Zopper]

A zase jsme se dostali pryč od jádra věci. Mně je u pr.. co mi admin udělá se systémem, jestli mi sebere profil, notebook nebo očmuchá myš, jde mi o obsah mých souborů Excel, Word, pdf apod. Jaký mi dá vedení řešení ? Ono teda nějaký existuje ? Sem s ním :-)

Ne, to jsme se zas dostali k jádru věci. Tohle se musí vyřešit procesně, nikoliv technicky: Vedení ti buď řekne "ok, tohle je legitimní případ, tady máš výjimku a v doméně tenhle stroj být nemusí," nebo ti řekne "přestaň si stěžovat a dělej, co se ti řeklo." A pak je řešení buď odejít pracovat jinam, nebo se s tím smířit a plnit příkazy. Protože pokud admin bude chtít, tak se ke všem souborům, které používáš, prostě dostane - když bude muset, tak přes keylogger nebo monitorování operací se soubory.

Nejde jen o samotné možnosti domény, ale hlavně o to, že jako doménový správce ti tam může nainstalovat libovolný spyware (pardon, corporateware) a přes ten pak může dělat cokoliv.

[Reklama]

[kanoe22]

Pro: FKoudelka

Hele, jestli nejsi spokojený s tím jaký má tvůj stávající zaměstnavatel pravidla pro IT tak to můžeš vyřešit velmi rychle výpovědí.
Už to proboha přestaň řešit.
Prostě chceš slyšet nějakou radu jak to očůrat, jak na "admina" vyzrát, ale stále nechápeš že on má možnost to klidně zformátovat a nahrát nový image.

Ja tiez nechapem co sa tu neustale riesi. Prikaz ocividne znel jasne, ten PC musi byt v domene. Ked ho tam FKoudelka nechce dat, tak nech su kupi druhy PC a ten si tam da. Namiesto toho sa tu vymyslaju pi<>viny na styl antiradaru na autach a toho ako nasledne argumentovat s policajtom ktory ta aj tak zastavi ze ten antiradar vlastne neni protizakonny.

Niektori ludia namiesto toho aby sa riadili pravidlami len hladaju sposob ako vsetko ochcat. Navyse FKoudelka pisal ze pracuje ako IT security. To znamena ze on sam musi velmi dobre vediet preco ten PC chcu v domene (bezpecnost) a aj napriek tomu tu trucuje ako male decko. Ja mat takeho zamestnanca tak uz ho upozornim ze nech sa spameta alebo pojde do prec. Ked je niekto kolenovrt co si nemieni kupit dalsi notebook 1*) na to aby oddelil sukromne veci (a to nie je len o datach, ale najma o programoch ktore mozu mat zranitelnosti) a pracovne veci, ziadna firma neni povinna tolerovat take bezpecnostne riziko.


1*: ako zamestnanec dostanes notebook kde su uz tie rozne firmene ochrany (antivir, firewall, ...) a spehovatka nainstalovane. Ako kontraktor vacsinou pracujes na svojom, to ale znamena ze musis akceptovat firemne security pravidla a nainstalovat si co potrebujes, preto kazdy rozumny clovek ma druhy dedikovany pc/notebook

[jjrsk]

...Díky, ale tento typ rad je irelevantní...

Irelevantni je predevsim tvuj dotaz. Videl sem uz na firemnich strojich ledacost, treba i domaci porno, dotycny byl na minutu vykopnut.

Ty zjevne vubec netusis jake jsou tve pravni povinosti, natoz abys tusil, co pripadne hrozi zamestnavateli, kdyz se na jeho HW neco takoveho objevi. A klidne se to muze zcela "samo" objevit verejne na netu.

Na firemnim HW proste nemaji soukroma data vubec co pohledavat, a ty nemas co v pracovni dobe se zaobirat nejakym soukromym souborem.

Ve windows je uživatelský profil standardně nepřístupný pro admina (lhostejno, zda lokálního nebo doménového). Dále lze u vytvořeného adresáře odebrat všechna práva a admin má opět smůlu. Obojí jsem zažil - Win10 + AD2016.

Zjevne ses "odbornik" ... uzivatelsky profil si zpristupnim lusknutim prstu, a libovolne soubory na disku jakbysmet. Zato ty dostanes obratem padaka, kdyz tam najdu co tam nema co pohledavat.

... tak může instalovat třeba i software na screenshotování obrazovky...

Nato netreba nic instalovat, to uz zvladaji widle nativne. A muzes si klidne pustit "tichou" rdp session = user netusi ze se divas.

Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, ...

Admin na to ma nejaky tool, a treba sleduje, ktery dmentni uzivatel ma zase plny disk, nebo miliardu souboru na plose atd atd atd. A kdyz mu takovy nekde vyskoci, tak se jde podivat, co to tam jakoze ma (velmi teoreticky to muzou byt pracovni veci a muze to mit nejaky duvod ...) ... a pripadne to posle rovnou na prislusneho sefa.

A jsou veci, ktere se cilene sleduji - filmy, mp3, ... protoze FIRMA na to nema licenci, a narozdil od soukromnika si to NEMUZE stahovat pro vlastni potrebu. A presne za tohle muze kdokoli kdekoli dostat okamzitou vypoved (napriklad).

Pricemz viz vejs, krom toho DP jsem takhle na firemnich strojich videl treba kompletni rodinou anamnezu ... fotky hromady vsemoznych dokladu, soukrome faktury ...

A to vsechno tam nema co pohledavat, protoze se to pak i zalohuje a archivuje a firma takova data vubec mit nesmi, hrozi ji za to stovky mega pukut, proto takova data nesmi byt na firemnim HW.

... k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, ...

Samozrejme ze dostane ... zdaleka nejprimitivnejsi zpusob bude se pripojit na tvoji prihlasenou session. Samozjreme si muzu zmenit tvoje heslo, a prihlasit se proste na tebe, to je taky moznost. Atd atd atd ... vcetne toho, ze systemu naridim, sifrovani zrusit.

[FKoudelka]

Díky, zkusím ten Veracrypt.

[kanoe22]

Díky, zkusím ten Veracrypt.

uvedomujes si ze ked tie veci odsifrujes, tak su doslova v "plain text forme"? Alebo ako si asi myslis ze ten veracrypt funguje? Ci mienis teraz, ja neviem budes tam pracovat napr cely dalsi rok, tak ten rok si ani len neotvoris sukromne veci na tom notebooku? Budu tam iba tak sediet zasifrovane a chytat prach? Ci si myslis ze po pracovnej dobe sa vsetko firemne vypne?

Ako som povedal, ak chces aby z tich suborov nikto nic nemal (vratane teba), tak si ich zasifruj na inom PC, prenes ich na ten tvoj sukromno/pracovny notebook, a viac krat sa ich nedotkni.

[Reklama]

[rmrf]

Díky, zkusím ten Veracrypt.

A dovoluje bezpečnostní politika firmy instalaci softvéru uživateli?

[Buldr]

Díky, zkusím ten Veracrypt.

Být Váš šéf a tohle číst, tak si spolu popovídáme o ochraně firmy a pokud s tím máte problém, okamžitě byste změnil lokál.

Ani v malém (takřka rodinném měřítku) nedovolím na firemních počítačích jakákoliv soukromá data, respektive data, která ze zákona nesmí mít, nebo na které nemám licenci. Což jsou mj. třeba naskenované lékařské údaje dětí, filmy, nebo hudba. Firma vynakládá prostředky do IT a jeho správy proto, aby chránila svá data a sama sebe, třeba právě před takovými frustrovanými jedinci, které nic jiného nezajímá, než co sami chtějí. Odnesl bych to já (firma).

Admin je tam se svými možnostmi od toho, aby zajistil funkčnost, ochranu dat a zájmy firmy. Tak už to pochopte, že do firemního IT prostě nemůžete zasahovat a nemají tam co dělat ani Vaše soukromá data. Lidsky to třeba pochopit jde (potřebujete něco oskenovat, poslat, …), jenže právníci to potom budou vidět jinak.

Proti možnostem správce a bezpečnostní politikou nemáte sebemenší šanci, s tím se smiřte a pořiďte si vlastní HW, nebo si najděte jinou firmu, kde na nějakou bezpečnost z vysoka kašlou.


P.S.: Smazat ... není triviální, protože když se taková data dostanou např.: na páskové knihovny (offline archivace), tak z toho něco vymazat jen tak nejde.

[Petr Branik]

Díky, zkusím ten Veracrypt.

A uvedomujes si, ze admin muze logovat co jsi napsal a klidne si pak pripojit tvuj sifrovany kontejner, ze? Furt nechces pochopit ze admin si se systemem udela cokoliv a tve hesla k atomovkam jsou v ohrozeni…

[FKoudelka]

Díky, zkusím ten Veracrypt.

A uvedomujes si, ze admin muze logovat co jsi napsal a klidne si pak pripojit tvuj sifrovany kontejner, ze? Furt nechces pochopit ze admin si se systemem udela cokoliv a tve hesla k atomovkam jsou v ohrozeni…

Myslím, že jste mi to už dostatečně vysvětlili. Hackování není totéž jako zvědavost a o tu mi jde.

[themanfromearth]

Nejbezpecnejsi  reseni je dualboot - jeden os firemni v domene a druhy soukromy. A pak sifrovana datova partition, kterou si pripojis k tomu soukromemu os.  Soukroma data bych do domenoveho pc nedaval. Leda bych si byl jisty nastavenim domeny a byl na urovni, ze bych znal vsechny firemni politiky. Na firemnim - domenovem pc ti klidne nekdo muze koukat prez rameno a ani o tom nevis. Pripadne firemni pc virtualizovat.

[Mudvy]

Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu. Mě zase příjde že to je někdo, kdo se stará o více českých firem z jednoho stroje. Nemusí být vůbec zaměstnanec. Navíc to ani není žádný mega korporát, když doménu řeší až teď.

Tento dotaz mi ani nepříjde nesmyslný, například znám spoustu paranoidních šéfů a majitelů firem, kteří i přes všechny firemní politiky IT mají počítače kompletně mimo jakoukoliv správu aby jim nikdo nekoukal do dokumentů. Nebo když je firma v Microsoftím vesmíru, tak si pořizují Apple, aby tam nic z toho schválně nešlo dát.

Jinak soukromá data zajímají pouze auditory a ty jsou povoláni bud na udání, nebo kvůli zakázce a certifikaci. Jinak si jich nikdo nemusí 20 let všimnout.

Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...

[FKoudelka]

Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu. Mě zase příjde že to je někdo, kdo se stará o více českých firem z jednoho stroje. Nemusí být vůbec zaměstnanec. Navíc to ani není žádný mega korporát, když doménu řeší až teď.

Tento dotaz mi ani nepříjde nesmyslný, například znám spoustu paranoidních šéfů a majitelů firem, kteří i přes všechny firemní politiky IT mají počítače kompletně mimo jakoukoliv správu aby jim nikdo nekoukal do dokumentů. Nebo když je firma v Microsoftím vesmíru, tak si pořizují Apple, aby tam nic z toho schválně nešlo dát.

Jinak soukromá data zajímají pouze auditory a ty jsou povoláni bud na udání, nebo kvůli zakázce a certifikaci. Jinak si jich nikdo nemusí 20 let všimnout.

Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...

Díky za podporu. Dost blízko

[Buldr]

Když už jsme u těch extrémních příkladů, jak víš, že si tam nechce zřídit třeba distribuci ilegálního obsahu?

Před čtyřmi lety mi odešla účetní a nechala mi na disku fotky svých malých dětí, jak se koupou, … zkrátka takové maminkovské věci. Když jsme pak o tom mezi řečí u pravidelného ročního selátka a piva bavili, přítomný kamarád nám to i se správcem a celým mančaftem vysvětlil hezky, kdyby na to nějaký blbec nasadil paragrafy. Nic příjemného, jakkoliv nevinný, nechtěný a zapomenutý pozůstatek jedné maminky.

Tvou víru v rozumné lidi znající míru nesdílím, u velkých společností tuplem ne a je otázkou, zda si to neuvědomují (viz účetní), nebo je jim to jedno protože můžou, mají nárok…
Nedivím se, že se firmy podobným scénářům brání a předchází problémům.

[Rovano _]

A na cloudu takové věci nemáš? Má je tam miliardy lidí, fotky koupajících se dětí. Nebo se něco změnilo a už je to také zakázáno?
Taky z toho kvete byznys potom na černém trhu. Fotky celebrit, děcek, ...

Ve výsledku tedy zakážeme všechno všude navždy! A zapomeneme, že jsme jen lidi.

Já když to tady čtu tak už přesně chápu, proč si lidi o ajťácích myslí svoje. A to můžu vynechat i tu skupinu, co se vzpírá až moc.

[Buldr]

Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.

Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš.  Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.

P.S.: Pro hnidopichy, nepočítám TC/VC šifrované kontejnery apod.