Ochrana soukromých souborů na PC v doméně Windows

[FKoudelka]

Zdravím,
jsem povinen si roky používaný NB zařadit pod firemní AD. Je nějaká cesta, jak zajistit, aby mi admin neviděl na soukromé soubory ? Jakákoliv v rámci Windows, , v nejhorším externí disk nebo soukromé šifrování ..

Díky

[Reklama]

[CPU]

Jak to bude v doméně, tak máš peška, šéfem domény je admin!
Může si dělat cokoliv od zachytávání stisků kláves, nahrávání obrazovky nebo i přístupu v podstatě kamkoliv.

Ale neříkej, že neumíš trollit ajťáka :-D

[skopda]

Jak jednou zařadíš pc do domény tak nad ním ztrácíš kontrolu. šifrovaný externí disk ti nepomůže. Jediné řešení je virtuální pc a nechat si přidat do domény jen virtuální stroj ne fyzický stroj nebo druhý notebook.
Osobně pouužívám dva notebooky, jeden pro práci, druhý starší na soukromé věci.
Pokud nejsi na doméně technicky závislý - tzn uděláš svou práci i bez domény, jen je nějaký předpis že chtějí tvoje pc v doméně nebo to potřebuješ  1x měsíčně na nějakou obskurní činnost, tak si třeba udělej dual boot, jeden os v doméně bude, druhý ne, 99% procent času budeš používat nedoménový OS, šifrovaná partition kterou nikdy nebudeš připojovat z doménového OS tak zůstane relativně bezpečná.

[MalyTomi]

Ak je to firemny ntb, tak vsetko v nom patri firme. Sukromne veci na sukromnom ntb.
Zase nemusis byt paranoidny, admin vacsinou netravi vacsinu casu pozeranim dokumentov na zariadeniach zamestnancov, riesi to jedine, ak je nejaky problem.

[CPU]

Dualboot nepomůže, dokonce i Linuxové oddíly se dají připojit: (třeba přes WSL: https://learn.microsoft.com/en-us/windows/wsl/wsl2-mount-disk)

A pokud bys měl dualboot Widlí, tak ten disk bude rovnou vidět.
Jediné řešení jsou dva notebooky.

[Reklama]

[booom691]

1 - jestli je NB firemní, tak je správné, aby byl v doméně, centrální správa aplikací, zabezpečení atd. (forma nemůže spoléhat na uživatele, že si vše nastaví sami a že to umí

2 - ve směrnici ve firmě je (by mělo být) napsáno, co firma smí a nesmí sledovat.

3 - firemní zařízení by jsi měl používat pro firemní účely a ne na tom hrát třeba hry, nebo tahat filmy z torrentů ( když si bereš HW domů (teda jestli můžeš)

[booom691]

a ještě doplním,

za porušení firemních směrnic může být postih, tak neřeš, jak se tomu vyhnout,,, a jak tu někdo psal. používej dva NB, pro práci a pro soukromí

[trollrolf]

Jak to bude v doméně, tak máš peška, šéfem domény je admin!
Může si dělat cokoliv od zachytávání stisků kláves, nahrávání obrazovky nebo i přístupu v podstatě kamkoliv.

Ale neříkej, že neumíš trollit ajťáka :-D

No ty určitě, ramena jak Hulk, ale jinak malý script kiddie  , a to že utíkaš k adminovi ať to smaže na tom nic nezmění !

[Bugsa]

Je-li notebook zaměstnavatele, tak konej dle jeho instrukcí a navíc soukromá data nemají na tom stroji co dělat! Řeší to i zákoník práce. Admini opravdu mají v lásce takové koumáky co berou firemní HW jako svůj soukromý.

[WIFT ​​​​​​​​​​]

Takže mi chcete říct, že když si zašifruju na NTFS svazku „normálním způsobem“ soubory, tak se k jejich původnímu obsahu může dostat i někdo jiný? Ptám se proto, že mi není jasné, k čemu pak takové šifrování je, a zajímalo by mě, jak se k nim admin domény může dostat.

[Petr Krčmář]

Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.

Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.

Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.

Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.

[FKoudelka]

a dát ty soubory třeba na iCloud by nepomohlo  ?

[CPU]

a dát ty soubory třeba na iCloud by nepomohlo  ?

Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..

[_Tomáš_]

Já nevím, jak je to na Windows, ale v Linuxu je root pánem systému. Čili může udělat cokoliv a nic před ním neukryjete.

Pokud pak takový zašifrovaný svazek uživatel někam připojí a začne ho používat, má do něj samozřejmě root v danou chvíli přístup. Root si může také například číst celou uživatelovu paměť a pokud v ní je klíč k tomu souboru, získá ho a data si kdykoliv dešifruje.

Je to tak schválně, uživatel si nesmí v systému dělat nějakou tajnou neplechu, do které by správce neviděl. Pokud chce uživatel svůj prostor, musí mít vlastní hardware. To samé pochopitelně platí i o různých virtuálních prostředích, kde má správce nadřazeného hostitele samozřejmě neomezenou moc.

Jiná situace ovšem je, když v tom počítači budou opravdu jen zašifrovaná „mrtvá“ data, která se budou přenášet někam jinam a tam až dešifrovat. Nebo to bude třeba jen záloha vytvořená a zašifrovaná jinde. Pak samozřejmě root nemá možnost si obsah přečíst, pokud neuhádne klíč nebo heslo.

taky proto linux tak neradi firmy dávají do domény. Mimochodem, to že root je pánen už přestává platit, vznikají nám tady antiviry a podobné SW, které mají řadu věcí implementovaných jako kernel modul a schovávají/šifrují tak i data. Root se na ty procesy a data nedostanu.

Dnes jsou společnosti odpovědní za bezpečnost a nelze mít odpovědnost za bezpečnost a zároveň mít na stanici místa, která se nesledují, takže ano, zařazení osobního počítače do firemního prostředí zpřístupňuji všechna data.

[FKoudelka]

a dát ty soubory třeba na iCloud by nepomohlo  ?

Ne.
Admin musí být pán systému, aby dokázal zajistit kybernetickou bezpečnost.
Navíc některé typy XDR software dokonce soubory vzorkují, takže co nového najdou sypou někam ..

Chceš říct, že admin mi uvidí do iCloudu ?