Punkt 1 mozna rozwiazac za pomoca domeny nt. Mam tak ustawione niektore komputery, ze nie maja dostepu do zadnego zewnetrznego napedu a na hd user ma dla siebie200 mb miejsca. Warunek konieczny - serwer domenowy, wszystkie komputery loguja sie do domeny, uzytkownicy nie znaja lokalnych hasel administratora badz konta lokalne sa w ogole wylaczone. Przepraszam za wyglad tego posta, pisze go z telefonu :)
W dniu 2010-12-09 22:57 użytkownik "Paweł Sikora" <[email protected]> napisał: witam, ostatnio pochylam sie nad ogolnym tematem zabezpieczenia poufnosci danych biegajacych w sieci koropracyjnej. nie chce tu teraz gdybac nad firewall-ami i polityka w tej materii, a chce sie skupic tylko na mozliwosci fizycznego wyprowadzenia informacji z firmy przez uzytkownikow nie majacych uprawnien admina. w szczegolnosci chodzi mi o... 1). zabezpiecznie danych przed skopiowaniem na urzadzenia podpiete do: - portow usb (pendrive, dongle usb2bluetooth). - portow e-sata. - portow rs232. - portow firewire. - ... 2). zabezpieczenie danych na dyskach twardych skradzionych z firmowych komputerow. tu mam na mysli jakies transparentne szyfrowanie partycji z danymi. szeregowi uzytkownicy nie moga znac hasel/kluczy, a jednoczesnie musza miec na maszynie dostep do danych i nie moga ich skopiowac (patrz punkt 1). oczywiscie, zeby nie bylo zbyt prosto, to w gre wchodza platformy linux oraz windows. z tego co pobieznie objezalem to na linuksie sporo da sie zalatwic przez zabranie uzytkownikom praw do zapisu dla pewnych grup urzadzen, przez zablokowanie ladowania modulow kernele (grsec), przez zabronienie tworzenia pewnych polaczen sieciowych (grsec,firewall), przez zachowanie poufnosci via ipsec oraz przez ecryptfs z administracyjnie zarzadzanym haslem w autostarcie. co do windowsa, to tu sprawa wyglada nieco gorzej. sa hack-i do rejestru blokujace np. zapis na usb[1], ale wyciecie dostepu do innych urzadzen, to juz chyba tylko przez wylaczenie przez admina kontrolerow w menedzerze, czy wykasowanie bazy sterownikow, a i to nie wiem czy jest skuteczne :) z szyfrowaniem partycji to juz w ogole jazda. nie wiem, czy bitlocker, albo truecrypt podda sie latwo zarzadzaniu tak jak ecryptfs? tak, czy inaczej, jesli ktos chcialby sie podzielic przemysleniami, to zapraszam :) [1] http://www.howtogeek.com/howto/windows-vista/registry-hack-to-disable-writing-to-usb-drives/ _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
