Ochrana soukromých souborů na PC v doméně Windows

X

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #30 kdy: 11. 05. 2024, 09:34:53 »
... se správou Windows nemám zkušenosti.

Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...

Řekl bych, že se tady ve dvou větách dostáváme k jádru problému té firmy, ve které pracuješ...

Ne, prostě neexistuje rozumnej způsob, jak něco před Adminem schovat. A jako "IT security" bys to měl vědět - pokud to teda není název pro sekuriťáka, co hlídá na recepci, aby lidi neopouštěli prostory firmy s jejím IT vybavením.  :P


Wasper

  • ***
  • 122
    • Zobrazit profil
    • E-mail
Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #31 kdy: 11. 05. 2024, 13:40:12 »
Ne, prostě neexistuje rozumnej způsob, jak něco před Adminem schovat. A jako "IT security" bys to měl vědět - pokud to teda není název pro sekuriťáka, co hlídá na recepci, aby lidi neopouštěli prostory firmy s jejím IT vybavením.  :P
Asi tak. V jisté době existoval koncept, kde tohle fungovalo (kdo si ještě pamatuje na C2 a B1 certifikace? Každý sekuriťák by si to měl zopakovat), Windows ve své největší slávě získaly s hodně hardeningem C2, což na tazatelův požadavek nestačí.

Navíc ta hromada spywaru nutného pro funkci "moderních" Windows to celé táhla úplně jiným směrem, do master/slave architektury (kde oním otrokem je uživatel)

tl;dr na čumění na porno si nos vlastní notes ;-)

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #32 kdy: 11. 05. 2024, 14:42:51 »
Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?

Buldr

  • ***
  • 143
    • Zobrazit profil
Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #33 kdy: 11. 05. 2024, 16:23:28 »
Pak by celá snaha o kontrolované a důvěryhodné prostředí firmy přišla vniveč. Nevidím důvod, proč by se firma měla vzdávat kontroly nad svým prostředím a přístupem.



Carpe diem

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #34 kdy: 11. 05. 2024, 17:50:29 »
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.


X

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #35 kdy: 11. 05. 2024, 19:27:29 »
Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.

Když jsme před mnoha lety přebírali doménu od externí firmy, tak jsem zjistil, že koníčkem jejich admina bylo projíždění fotek dámského osazenstva. Dámy si zálohovaly fotky z mobilu/foťáků na firemní kompy a už to bylo... Přišel jsem na to jenom díky tomu, že tohle prováděl (z mě neznámého důvodu) na DCčku pod accountem Admina a bylo to vidět v historii.

Myslet si, že admin nemůže být voyer, je bohužel naivní. Může.  :-\

Soukromá data na počítač nepatří, speciálně pokud se jedná o korporát. Je to i pro bezpečí uživatele, protože nikdy nikdo nemůže vědět, co udělá admin. Nebo co udělá případný útočník, který se do domény dostane.

FKoudelka

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #36 kdy: 11. 05. 2024, 23:06:49 »
Hele a co na to jit uplne od lesa... je nezbytne nevyhnutelne nutne mit firemni OS primo na zeleze?
Nestaci mit na zeleze nejaky unmanaged OS s tim, ze firemni managed OS se vsemi politikami a pristupy bezi ve virtualce (s pristupem k firemni siti prostrednictvim VPN)?
Dík. Mně by úplně stačilo, aby mi neviděl do dokumentů.

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #37 kdy: 11. 05. 2024, 23:18:14 »
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.

FKoudelka

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #38 kdy: 11. 05. 2024, 23:46:59 »
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
« Poslední změna: 11. 05. 2024, 23:51:51 od FKoudelka »

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #39 kdy: 12. 05. 2024, 00:04:35 »
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu. Pokud neduverujes adminu tak jdi za vedenim firmy, zdurazni ze mas hesla k atomovkam na svem firemnim notebooku a vedeni te budto nekam posle nebo ti da reseni. Muzes tady vymyslet co chces ale pokud je system v domene tak jako admin si udelam s tim systemem co chci a pokud budes obchazet pravidla tak te budto vyrazi nebo ti nainstalujou mo itorovaci sw ktery bude zaznamenavat uplne vse vcetne stisknuti klaves, pohybu mysi, videa,…

FKoudelka

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #40 kdy: 12. 05. 2024, 00:16:04 »
Já svou zmínku o šifrování mířil tím směrem, že když si ve Windows pod svým přihlášením zašifruju nějaké soubory na filesystému, což Windows normálně umožňuje (vlastnosti - obecné - upřesnit - šifrovat), tak mám za to, že k takto zašifrovaným souborům se mi nedostane jiný uživatel, ani admin, protože k tomu potřebuje certifikát, který systém v mém profilu vygeneruje a naváže ho na mé přihlašovací údaje, jako ostatní certifikáty (obvykle se při zašifrování prvního souboru tímto způsobem zobrazí i výzva k záloze certifikátu, který je v tu chvíli vytvořen). A pokud mi nějaký admin změní heslo bez znalosti mého hesla, tenhle přístup by měl ztratit (stejně jako ho v tu chvíli ztratím já, pokud jsem si certifikát s privátním klíčem nezazálohoval).

Pokud je tomu jinak a lze se k takto zašifrovaným souborům dostat, prosím o vyvedení z omylu. Pokud ne a platí, co jsem napsal, pak by toto mělo být jedním z možných řešení.
Zajímavé, dík. Konečně jsme se dostali k jádru věci (dotazu). Těším se na odpovědi.
Je uplne jedno, ze si vygenerujes certifikaty nebo sifrovani pod svym profilem, admin systemu je schopen se systemem udelat cokoliv. Vcetne “prevzeti” tveho profilu. Pokud neduverujes adminu tak jdi za vedenim firmy, zdurazni ze mas hesla k atomovkam na svem firemnim notebooku a vedeni te budto nekam posle nebo ti da reseni. Muzes tady vymyslet co chces ale pokud je system v domene tak jako admin si udelam s tim systemem co chci a pokud budes obchazet pravidla tak te budto vyrazi nebo ti nainstalujou mo itorovaci sw ktery bude zaznamenavat uplne vse vcetne stisknuti klaves, pohybu mysi, videa,…
A zase jsme se dostali pryč od jádra věci. Mně je u pr.. co mi admin udělá se systémem, jestli mi sebere profil, notebook nebo očmuchá myš, jde mi o obsah mých souborů Excel, Word, pdf apod. Jaký mi dá vedení řešení ? Ono teda nějaký existuje ? Sem s ním :-)
« Poslední změna: 12. 05. 2024, 00:18:32 od FKoudelka »

X

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #41 kdy: 12. 05. 2024, 00:20:35 »
Ono teda někjaký existuje ? Sem s ním :-)

Neexistuje a existovat nebude.

Všechny výmysly, co tu padají, jsou naprosté kokotiny - od představy, že ti firma nechá běžet doménové widle ve virtuálu až po to, že si něco můžeš šifrovat (sice technicky můžeš, ale admin to vždy dokáže dešifrovat nebo si může počkat, až to dešifruješ ty a pak ty data sebrat).

Mudvy

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #42 kdy: 12. 05. 2024, 03:32:13 »
jestli jde jen o to, aby ti do toho nikdo nevidel když se to válí ve složkách, tak třeba něco takového.

Šlo by to i přes obyčejný 7zip nejspíš. Pokud ti neseberou heslo od archivu, tak se tam nikdo snadno nedostane.

https://apps.microsoft.com/detail/9nsgbqsj2hd6?hl=cs-CZ&gl=IN
https://www.youtube.com/channel/UCx8EKXRh_lR0K5SVHuzXyPQ

stálo mě to 5 sekund google -> windows file secure vault

nebo si napsat primitivní aplikaci, co ti všechny soubory ve složce převede na úplný nesmysly, pomocí vlastního šifrování

Mudvy

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #43 kdy: 12. 05. 2024, 04:00:46 »
tohle je taky zajímevé řešení

https://www.windowscentral.com/how-password-protect-folder-windows-10

pokud vím, tak jestli nemáš recovery key - tak to z toho nikdo snadno nedostnane i kdyby byl admin.

Re:Ochrana soukromých souborů na PC v doméně Windows
« Odpověď #44 kdy: 12. 05. 2024, 08:48:23 »
Pro: FKoudelka

Hele, jestli nejsi spokojený s tím jaký má tvůj stávající zaměstnavatel pravidla pro IT tak to můžeš vyřešit velmi rychle výpovědí.
Už to proboha přestaň řešit.
Prostě chceš slyšet nějakou radu jak to očůrat, jak na "admina" vyzrát, ale stále nechápeš že on má možnost to klidně zformátovat a nahrát nový image.