Ochrana soukromých souborů na PC v doméně Windows

[jjrsk]

Příjde mi, že to tady s tím moralizováním dost přeháníte. ...

Hele, adminuju X ruznych firem, samozejme zcela bezne pouzivaji AD. Nemam a nikdy mit nebudu libovolny svuj stroj prirazen libovolne domene. Je to naprosty bezpecnostni nesmysl. Vzdy existuje nejaky vstupni bod ke kteremu se prihlasim prislusnym domenovych uctem (pripadne certifikatem ...), a rozhodne na to nepotrebuju mit svuj HW v domene. V extremnim pripade budu pouzivat HW patrici zakaznikovi (existujou infrastruktury do kterych se proste z neautorizovaneho HW nepripojis). Stroje se totiz davaji do AD prave proto, aby nad nimi byla 100% kontrola. Bez ohledu na to kde jsou a kdo je pouziva.

FKoudelka rozhodne nikde nic neadminuje, protoze zcela zjevne nema ani tuseni jake moznosti administrator ma.

...

Nekteri proste nechapou zakladni veci ... v kazdy firme ktera chce jeste zitra existovat mas nastaveny nejaky procesy, a prave reseni legality dat je jednim z nich. A probiha to typicky v nejakych cyklech + namatkove. Viz co sem psal vejs, nekdy ani primane nejdes resit legalitu, ale jdes se podivat, proc se ti profil usera ze dne na den zvetsil o 50GB ... a zjistis, ze proto, ze si tam ulozil soukrome fotky z dovolene ... nebo aktualni kasahit v BRD ripu ... za dalsi hodinu to budes mit v zaloze, a zitra v archivu ...

...

Co si das ty soukrome do cmoudu je tvuj problem. Co das na firemni HW je problem te firmy. A jak tu bylo receno, zkus na verejny cmoud nahrat fotku, ktere jen vypada jako nahe dite, nebo bradavka. Papa ucet ...

... Zkuste mi, prosím, popsat přesně způsob či předvést, jak se admin může dostat k obsahu takto zašifrovaných souborů, ne obecné zmínky typu „admin může“ ...

Co presne nechapes na tom, ze kliknu pravym na tvy jmeno, dam "nastavit heslo" a prihlasim se? A voiala ... vidim vsechny tve zasifrovane soubory.

Samozrejme to muzu udelat asi tak tisicem dalsich zpusobu. Co na treba nechapes na tom, ze si proste reknu o export TVEHO sifrovaciho certifikatu, a naimportuju si ho do libovolneho jineho profilu? To se narozdil od te zmeny hesla vubec nedozvis.

Co nechapes na tom, ze se data musi zalohovat, a aby se dala zalohovat, tak se bud zalohuji nesifrovana nebo ... vcetne tech sifrovacich klicu? A zase, ty nemas vubec jako uzivatel jak zjistit jak to probiha a jak je to nastaveno.


Sifrovani na widlich je primarne proto, aby si data neprohlizeli dalsi uzivatele. Pripadne aby nebyla pristupna po fyzicke ztrate HW. Neni to ochrana pred adminem.

Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?

děkuji.

Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.

[Reklama]

[Wasper]

Co presne nechapes na tom, ze kliknu pravym na tvy jmeno, dam "nastavit heslo" a prihlasim se? A voiala ... vidim vsechny tve zasifrovane soubory.

No ale takhle to právě nefunguje. Ten klíč je v profilu, ale zašifrován tím heslem. Když admin natvrdo změní heslo, tak o něj příjde (pravda, když se ho nějakou jinou metodou zjistí a setne se zpátky na to původní, tak to zase začne fungovat, stejně jako platí, když se to zkopíruje do jiného profilu, ale bez původního hesla ani ránu)

Každopádně ale platí zbytek argumentů (přes GPO se tam dá dát recovery klíč, nebo keylogger, ....), takže argument je správně, jen to není tak úplně jednoduché jako první odstavec. https://learn.microsoft.com/en-us/windows/security/information-protection/windows-information-protection/create-and-verify-an-efs-dra-certificate

Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.

A nebo taky ne. Vystrašit někoho něčím ještě neznamená, že obsah strašení je pravdivý. Zvlášť v případě zcela extenzivního výkladu fotek s dovolené coby tr. činu. - to by snad ani u našich soudů neprošlo.

[Zopper]

Zopper, a podobní: Soukromá data na firemním stroji, byť by to porušovalo interní směrnice, se nepovažují za Hrubé porušení pracovní kázně, takže hrozí možná tak vytýkací dopis, a pak další, pokud nekázeň pokračuje, a pak se můžeme bavit o výpovědi. O žádném padáku na hodinu rozhodně nemůže být řeč.

Soudy to resit nemusi, protoze 100% zamestnancu rado a obratem podepise dohodu o okamzitem ukonceni pracovniho pomeru. Jinak by totiz platili a platili a platili.

A nebo taky ne. Vystrašit někoho něčím ještě neznamená, že obsah strašení je pravdivý. Zvlášť v případě zcela extenzivního výkladu fotek s dovolené coby tr. činu. - to by snad ani u našich soudů neprošlo.

Fotky z dovolené samozřejmě ne. Ale pokud ty "soukromé soubory" budou kolekce warezu, obzvlášť takového, co by mohl být použitý pro práci, ideálně i nainstalovaný na tom pc (protože celá diskuze je o tom, že "nechci mít soukromý pc, když už mám pracovní"), tak tam už bych se hodinové výpovědi nedivil. A v tu chvíli bude většina lidí ráda, že to skončí jen vyhazovem a ne oznámením na policii, ať už si ty warez torrenty před příchodem do kanceláře vypínali, nebo ne.

[Karmelos]

Fotky z dovolené samozřejmě ne. Ale pokud ty "soukromé soubory" budou kolekce warezu, obzvlášť takového, co by mohl být použitý pro práci, ideálně i nainstalovaný na tom pc (protože celá diskuze je o tom, že "nechci mít soukromý pc, když už mám pracovní"), tak tam už bych se hodinové výpovědi nedivil. A v tu chvíli bude většina lidí ráda, že to skončí jen vyhazovem a ne oznámením na policii, ať už si ty warez torrenty před příchodem do kanceláře vypínali, nebo ne.

Fotky z dovolené jsou asi OK, ale v moderním korporátu je za zapomenutý keygen.exe na zasunuté flešce vytýkací dopis. Různé fortinety, crowdstriky, avecta a další podobná havěť drží uživatele pěkně zkrátka a reportuje kde co...

[FKoudelka]

Příjde mi, že to tady s tím moralizováním dost přeháníte. ...

FKoudelka rozhodne nikde nic neadminuje, protoze zcela zjevne nema ani tuseni jake moznosti administrator ma.

Tak ted nevim,  zda se mám zase na.rat , nebo se smát tomu, že si myslíš,  že se administrují jen Widle nebo, že neexistuje nikdo, kdo doménu nikdy nepoužíval, protože nepotřeboval.

[Reklama]

[FKoudelka]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.

To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.

Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.

Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".

Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.

Pak není divu, že na soudě mají z inženýrů srandu :-)) Promiňte doktore

[FKoudelka]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.

To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.

Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.

Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".

Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.

Pak není divu, že na soudě mají z inženýrů srandu :-)) Promiňte doktore

“Vážená paní soudkyně, dovolte abych vám vysvětlil význam ustanovení §…” To je citát z jednání :-)

[Rovano _]

Co si das ty soukrome do cmoudu je tvuj problem. Co das na firemni HW je problem te firmy. A jak tu bylo receno, zkus na verejny cmoud nahrat fotku, ktere jen vypada jako nahe dite, nebo bradavka. Papa ucet ...

Což tu bylo již vyvráceno s tím cloudem.
A myslím, že je to zbytečné více rozvádět.

[jjrsk]

...Tak ted nevim,  zda se mám zase na.rat , ...

To se klidne naser, protoze root na linuxu ma moznosti uplne stejne, a ten stroj v zadne domene vubec byt nemusi, kdyz sem jeho admin, tak sem admin a muzu vsechno. Ackoli se predevsim soudruzi z ms snazi tomu adminovani hazet klacku pod nohy cim dal vic.

[Marek Staněk]

Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?

děkuji.

Od kdy přesně máme precedenční právo?
V ČR sice mají soudy povinnost k předchozím rozhodnutím přihlížet, ale nemají povinnost se jimi řídit. To platí jen pro judikáty NSS a ÚS a jejich tzv právní věty.

[hmmmw]

Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?

děkuji.

Od kdy přesně máme precedenční právo?
V ČR sice mají soudy povinnost k předchozím rozhodnutím přihlížet, ale nemají povinnost se jimi řídit. To platí jen pro judikáty NSS a ÚS a jejich tzv právní věty.

Třeba chtěl výsledky minulých kauz, aby se na vlastní oči přesvědčil, jak se tyto zložiny potírají.

A já se přidávám, výpovědi na hodinu za vlastní data na pracovních strojích jsou nesmysl. Takže by mě nějaký příklad zajímal.

[Zeggjk]

tohle je taky zajímevé řešení

https://www.windowscentral.com/how-password-protect-folder-windows-10

pokud vím, tak jestli nemáš recovery key - tak to z toho nikdo snadno nedostnane i kdyby byl admin.

Pokud je správně nastavena AD politika, tak běžný user končí u bodu 2, kdy mu systém nahlásí, že nemá přístup ke správci disků. Pokud by i mohl vytvořit virtuální disk, tak jestli není admin blázen, tak je nastaveno, že  šifrovat bitlockerem jakýkoliv disk jde jen pokud je dostupná doména a klíč pro obnovení se ukládá do AD.
Co když by některý důležitý člověk z firmy zapomněl heslo k zašifrovanému disku, kde jsou životně důležitá data pro firmu? A opravdu nelze spoléhat na usera, že když si rozhodne něco zašifrovat, že si klíč třeba vytiskne a uloží do trezoru.

[Wasper]

Od kdy přesně máme precedenční právo?

Kde vidíte jakýkoli argument vztahující se k precedenčnímu právu?

Ten argument je celkem simple - přestože tu máme ten zákon (s drobnými updaty) už 15 let, a přestože se podobné případy zcela evidentně stávají každodenně, takže jinak řečeno dataset je obrovský, ukažte mi jediný případ, kdy jakýkoli soud připustil podobně zvrácený výklad a odvolačka mu to neomlátila o hlavu.

[Petr Branik]

Frantiskovi rodice to meli hodne tezke... Ne a ne pochopit zakladni veci, mele si furt to sve i kdyz o tom vi prd a ne a ne akceptovat, ze jako admin v domene budu mit pristup k "jeho" datum na firemnim pocitaci v domene kdykoliv budu chtit. Frantisek "adminuje" leda tak zavoru na parkovisti.

[FKoudelka]

Díky, zkusím ten Veracrypt.

uvedomujes si ze ked tie veci odsifrujes, tak su doslova v "plain text forme"? Alebo ako si asi myslis ze ten veracrypt funguje? Ci mienis teraz, ja neviem budes tam pracovat napr cely dalsi rok, tak ten rok si ani len neotvoris sukromne veci na tom notebooku? Budu tam iba tak sediet zasifrovane a chytat prach? Ci si myslis ze po pracovnej dobe sa vsetko firemne vypne?

Ako som povedal, ak chces aby z tich suborov nikto nic nemal (vratane teba), tak si ich zasifruj na inom PC, prenes ich na ten tvoj sukromno/pracovny notebook, a viac krat sa ich nedotkni.

No jednoduše, v práci unmounted a doma dle potřeby. Stejně mám většinou HO. Ale dík.