Ochrana soukromých souborů na PC v doméně Windows

[Marek Staněk]

Chceš říct, že admin mi uvidí do iCloudu ?

Pokud máš ty soubory stažené na lokální úložiště, tak samozřejmě.

[Reklama]

[Marek Staněk]

Díky, ale tento typ rad je irelevantní, další už komentovat nebudu. Zajímá mne technická stránka. 
O obskurní činnost mi nejde, ale nemusí každý vidět mé soukromé dokumenty. Svůj NB mám, ale u tohohle a jeho předchůdců sedím už 20 let 5x8, nebudu mít otevřené dva NB.

To je z hlediska pracovního práva přístup zcela chybný. Pokud nechceš, aby ti koukal do tvých dat, odsuň je na privátní nebo veřejný cloud a pracuj s nimi jen skrz prohlížeč, ideálně z virtuálního stroje s bitlockerem nebo veracryptem šifrovaným virtuálním diskem. Nebo ještě jednodušeji si doma pusť desktop a se soukromými daty pracuj na dálku skrz RDP / UltraViewer / AnyDesk / RealVNC.

[Marek Staněk]

No a druhý, možná i pádnější důvod je, že jsem třeba security admin, manager, účetní ...a mám tam věci, do kterých BF AD admin nemá co koukat.
Dá se aspoň zamčít soubor tak, aby se tam koukat nemohl ?

Jistě, třeb VeraCryptem. Ale z pohledu pracovního práva je to bez schválení zaměstnavatelem protiprávní.

[Marek Staněk]

Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?

Troufnu si s naprostou jistotou tvrdit, že připojení takové mašiny do firemní sítě bude v rozporu s bezpečnostní směrnicí a důvodem pro okamžité rozvázání pracovního poměru bez odstupného z důvodu závažného porušení pracovní kázně.

[Marek Staněk]

Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.

Stále nechápu, proč si všichni myslí, že to je náplní práce firemního admina.
Celé to má příčinu v tom, že firemní admin nese pracovněprávní a leckdy i trestní odpovědnost za to, co se ve firemní infrastrukuře a zařízeních děje. Na tvoje soukromé soubory kálí pes.

[Reklama]

[Marek Staněk]

Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.

Dostane. Protože pokud má práva lokálního admina, může si přidělat přístupová práva v ACL, a následně dostane dešifrovací klíče.

[Marek Staněk]

Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké (...)
Podle toho co tu píšete by člověk co si otevře vlasní email v pracovní době by zasloužil vyhazov ...

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

[Marek Staněk]

Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.
(...)

1) zrovna v případě OneDrive se kontrola na výskyt dětského porna provádí pouze na sdílených složkách.
2) doslova vůbec nic ti nebrání si koupit NAS a dát si to na něj.

[FKoudelka]

Dost laciné, ale budiž. Zrovna děti a nahota jsou tabu hodně dlouho, však to můžeš zkusit třeba u Microsoftu a uvidíš, jak rychle to půjde. To opravdu nemá, u velkých poskytovatelů jde o dlouhodobé tabu, u těch uzavřených (pod vlastní kontrolou) to miliardy nebudou a na firemních už vůbec ne. Plus rozdíl v odpovědnosti.

Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš.  Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.

P.S.: Pro hnidopichy, nepočítám TC/VC šifrované kontejnery apod.

Tak teď jsi mě dost urazil. Jestli chceš diskutovat o dětském pornu nebo ilegálním obsahu v souvislosti s mým dotazem, nedělej to, založ si vlastní vlákno nejlíp na jiném, relevantnějším fóru.
Víš o mém zaměstnání a o mé motivaci kulový a jelikož  chci, aby to tak zůstalo, nemohu se pochopitelně obhajovat.
Účastním se diskuzí od dob BBS na vytáčené lince, pamatuju začátky internetu, mailu a odborných diskuzních skupin, pravda, zahraničních. Diskuse byla vždy k věci. Tohle by se netrpělo. Proč nezkusíš takhle debatovat třeba na Linkedin ? Neříkám, že fórum na rootu je lokálně to nejhorší, ani že v cizině je to pořád tak korektní, ale to neznamená, že je to dobře, ani že by se to nemohlo zlepšit. Admine, prosím, toto mé vlákno zamkni nebo smaž.  Dík všem, co poskytli konstruktivní rady.

[WIFT ​​​​​​​​​​]

Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.

Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.

Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu…

Takže mi chcete říct, že to šifrování je tam k ničemu? Že si ho Microsoft vymyslel, protože měl zrovna dobrou náladu, a lidi mu to žerou? Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ne obecné zmínky typu „admin může“ (protože jsou situace, kdy ani admin nemůže a tahle by mezi ně měla patřit). Protože zmínky na internetu o tomto způsobu zabezpečení souborů vedou k tomu, že obsah souborů může vidět jen ten, kdo je zašifroval. Uživatel s admin právy může vidět samotné soubory, ale ne jejich obsah. Protože právě od toho tam to šifrování je. Mimo jiné je na tom postavená třeba technologie Always encrypted v MS SQL serveru, kde se počítá s tím, že admin nemůže vidět data takto zašifrovaná (a ten způsob zašifrování je prakticky stejný jako u těch souborů na disku - je k tomu certifikát v profilu uživatele, který může vidět pouze uživatel pod svým přihlášením, pokud mu někdo násilně nezměnil heslo, protože pak o ten přístup přijde).

A opravdu nepočítám situace, kdy má admin v mém profilu nasazené šmírovátko, které mu pod mým přihlášením ty soubory zpřístupní, protože to systém bude brát tak, že mám ty soubory otevřené já (což samozřejmě udělat může).

[Zopper]

Příjde mi, že to tady s tím moralizováním dost přeháníte. FKoudelka nikde nezmiňoval jaký má pracovní vztah, ani v jaké firmě dělá, ani jaký jsou jeho pravomoce. Podle vašich představ je to někdo kdo žije v nadnárodním korporátu.
...

Já nemoralizuju, já upozorňuju, že pokud chce mít jistotu, že mu to nikdo nemůže přečíst, tak to to na počítači, jehož není správcem, prostě nejde udělat. A i v tom korporátu spousta věcí běžně (v rozumné míře) projde. Ale můžou se vytáhnout třeba ve chvíli, kdy bude potřeba někoho vyhodit. Můžou, nemusí - pointa je v tom, že nikdy nevíš, co přesně se kde sbírá, loguje, ukládá, a kdo a jak to hlídá či nehlídá.

Jestli nejde o obranu před někým, kdo ví, co chce a jak toho dosáhnout, ale jen o ochranu před náhodným (třeba neúmyslným) únikem dat, tak stačí prakticky cokoliv - zaheslovaný zip, veracrypt, zaheslované pdf... Ale nic z toho nepomůže, pokud admin bude čmuchat kolem a chtít ten přístup. Plus nezapomínejme na lámání hesel variantou na gumovou hadici: "Co tady máš v tom souboru? Dešifruj to." "Nedešifruju, do toho vám nic není." "Takže soukromá data? To je porušení článku X.Y, závažné porušení kázně, máš padáka."

Pokud je tazatel kontraktor pro několik různých firem (ne osvč na švarcu), tak většinou nedává moc smysl, aby v nějaké cizí doméně byl. Leda by to byla ta výroba atomovek, ale tam zas budou úplně jiná bezpečnostní opatření.

Takže mi chcete říct, že to šifrování je tam k ničemu? Že si ho Microsoft vymyslel, protože měl zrovna dobrou náladu, a lidi mu to žerou? Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ... A opravdu nepočítám situace, kdy má admin v mém profilu nasazené šmírovátko, které mu pod mým přihlášením ty soubory zpřístupní, protože to systém bude brát tak, že mám ty soubory otevřené já (což samozřejmě udělat může).

To mi připomíná klasiku:

Reg : All right, but apart from the sanitation, medicine, education, wine, public order, irrigation, roads, the fresh water system and public health, what have the Romans ever done for us?
Attendee : Brought peace?
Reg : Oh, peace - shut up!

Snad nikdo tu nezpochybňuje šifrování obecně. Argument je, že když admin bude chtít, tak si ty přístupové údaje opatří třeba keyloggerem a tedy nejde mít 100% utajení a přitom tam ty soubory otvírat. Ale to je přesně to, co nepočítáte...

[LamZelezo]

WIFT: sifrovaci klice uzivatelu muze AD admin zalohovat. A to znamena, ze je taky muze obnovovat. A to treba i na jinem pocitaci. A na ten pocitac si muze zkopirovat zasifrovane soubory/slozky. Atd.

[Tomas-T]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí, práce 100% HO, v zásadě volná pracovní doba, firemní NBK jsem si komplet instaloval i přidával do domény sám). Sice mi už náš sekuriťák loni říkal, že by bylo lepší, kdybych si na některé soukromé věci pořídil vlastní notebook, ale když jsem mu odpověděl, že v tom případě žádný pracovní notebook nepotřebuju a že mi stačí vytvořit ve firmě nebo v cloudu nějaký virtuální stroj, ke kterému se ze svého soukromého notebooku připojím, tak jen podotknul, že bych ho pak stejně musel mít pod doménovou politikou s nasazeným firemním antivirem a firewallem, takže by to vlastně nic neřešilo - a tím celá diskuze zase skončila.

[HermaneusMora]

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,

To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.

[Marek Staněk]

Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.

Ne. To šifrování je tam pro ochranu dat před zneužitím v důsledku spáchání trestního skutku neoprávněného užití výpočetního prostředku, nikoli před oprávněným užitím funkcí systému adminem.
Funguje to tak, že se aplikuje asymetrická šifra, přičemž k privátnímu klíči nutnému pro de/šifrování mají přístup držitelé (přesněji SID) práva alespoň Read.
Admin ve výchozím stavu práva k souboru nemá, tedy nemá ani privátní klíč.
Ale admin si může přidělit práva v rámci svých pravomocí vyplývajících z členství ve skupině Administrators, a tím přístup k privátnímu klíči dostane a je pak schopen soubory přečíst.
Jejich eventuální zneužití pokrývá trestní zákon.
Stále platí, že uživatel který nemá práva k tomu, aby si přístupová práva přidělil, se k souborům nedostane.