Zabezpečenie mojich prác proti odcudzeniu z PC

Myslim ze to co chces vpodstate urobit nejde. Akonahle tie subory moze citat, moze ich aj nejakym sposobom skopirovat (trebars si to posle cez COM port na nejaky vlastnorucne vyrobeny flashdisk ).
Ciastocna ochrana by bola dat mu len user ucet, a ten obmedzit tak silne aby nemohol nic instalovat (ani nove zariadenie) a odinstalovat USB ovladac a snad aj ASPI aby nemohol vobec pouzivat ani USB kluc ani vypalovat, ale to by asi ani nemohol tlacit atd. Proste to co chces sa prekryva s tym co nechces takze to mas blbe. Musis mu ten USB stick zakazat uplne, a ked ho chce pouzit tak jedine v tvojej pritomnosti na tvojom admin ucte. V normalnej firme sa na to urobi zmluva a prip. sa do dokumentov dava uricty poznavaci znak ktory nikto nevidi len ty vies kde je a kazdy kto pracuje z tym dokumentom dostane ten dokument s neviditelnym znakom inym. Typicky takyto znak je nejaka gramaticka chyba v nejakom slove alebo proste nieco pozmenene jedno pismeno v texte apod. Ak je to grafika tak nejake suradnice posunut o 1pixel alebo u bitmap dat tam vodotisk na LSB bit.
Potom ak zistis ze sa ten dokument dostal mimo tak vies podla poznavacieho znaku presne urcit cloveka od ktoreho to slo, a jeho zazalovat na sude.

P.S. idealne ak kontaktujes firmu ktora ti to nastavi co ide podla okolnosti pripadne doporuci postupy na serveri a routeri podla toho jakym sposobom tam riesite net a tlaciaren.

Musím reagovať.

1, všetky počítače, tlačiarne a ploter mi do firmy dodávala firma špecializujúca sa na predaj a servis hardwaru a softwaru v priebehu posledných 4 rokov. Nekupoval som ich niekde z výkladu v komerčnej predajni elektroniky. Taktiež boli dodané s nainštalovaným OS Home veria, čo mi nebolo ani vysvetlené ani doteraz som to nejako nepociťoval až keď nastal problem so zabezpečením dát.

2, dáta chcem zabezpečiť len na 1 PC na samostatnom pracovisku. Dáta budú zabezpečené len pre 1 užívateľa. Tento PC nebude pripojený na internet, nebude vo firemnej sieti, bude len komunikovať so svojou tlačiarňou a plotrom. Bude to počítač len na určitú grafickú činnosť. USB ovladač odinštalovať nemôžeme, je tam pripojená tlačiareň a ploter.
Riešenie typu " zablokovať prenos údajov " musíme riešiť tak, že zablokovať len užívateľovi. Ak si sadnem za tento PC ja a prihlásim sa ako administrátor, môžem vykonávať všetky operácie ako na nezabezpečenom PC.

3, Riešenie typu: žalovať na súde za krádež údajov....

Ten kto sa dostane k týmto grafickým šablónam podtatne zrýchli a uľahčí svoju prácu v oblasti vektorovej grafiky a a animácií. Na výslednom produkte nebude vidno že bol vytvorený pomocou týchto šablón. Len výrobca bude rád že vyrobil niečo o 70% rýchlejšie ako predtým. Nepôjde sa nikde chváliť ako a ak sa tým živí, určite tie veci ďalej nepredá. Dokázať že jeho produkty boli vyrobené takouto technológiou bude nemožné.

1. ja som mal na mysli specializovanu firmu na bezpecnost PC a nie nejakeho predajcu laika ktory vie akurat parametre z marketingoveho letaku.

2. ale mozes napr. odstranit ovladac usbstor, to je ovladac pre USB storage (diskove ulozisko). Ostatne USB zariadenia (tlaciaren a plotter) by mali normalne fungovat ptz pouzivaju iny ovladac. Dokonca tusim (neviem naisto) ze user konto vobec nedovoluje instalovat zariadenia takze ak tam strci USB stick tak by mu vobec nemal fungovat. Mozes si to skusit vytvor tam ucet s pravami user (v ovl.panely - sprava uzivatelov) a prihlas sa do toho konta a strc tam nejaky USB stick ktory si este nestrkal do toho PC pod adminom. Prip. pouzi hladanie (slovo usbstor) uz to tu raz bolo tusim diskutovane o tom a o user ucte.

Ostatne veci ktore pises (ze to nebude pripojene na internet) su OK tak potom nemusis zabezpecovat siet proste LAN pre usera uplne zakazes. Stejne tak bluetooth. Resp. ak tam bluetooth adapter vobec neni tak to je jedno ptz ak user konto nemoze instalovat nove zaraidenia tak nemusis nic zabezpecovat.

Ale stale si to moze napalit, to je dost tazko zabranit ptz moze pouzit nejaky portable program prip. ak tam je CD mechanika tak moze nabootovat iny OS, ja by som asi do takeho PC preistotu vobec nedal ziadnu mechaniku a do BIOSu by som dal heslo a nastavil natvrdo boot len z HDD a z nicoho ineho.

Stale ale nezabranis tomu aby ten PC otvoril a vybral disk a skopiroval vsetko mimo PC.

1, tá firma asi nie sú laici, inštalujú aj zložitejšie veci, napr. pokladničné a skladové systémy v hypermarketoch atď. Podľa mňa chceli ušetriť, tak inštalovali Home verziu. Asi tam zabehnem nech si to teraz rieša.

2,Odinštalovanie USB a CD mechaniky problém nerieši. Ja ako dministrátor chcem veľakrát do PC dostať práce čo som urobil doma na svojom notebooku a užívateľ ich len spracuje a aplikuje na dalšie zákazky.To sa bude dať len cez CD alebo USB. Zase Blue tooth je nainštalovaný - neviem ako ho užívateľovi zakázať.

3, PC neotvorí, dám tam bezpečnostńý šrób (niečo podobné ako na drahých AL diskoch áut - len v miniatúrnom prevedení), môžem tam hodiť aj plombu - to je asi najmenší problém.

1. Aj home verzia ma User ucet (P.S> ale davat ju do firmy je blbost z dovodu ze to nevie domenu a nema to group policies)

2. ved pisem ze pod adminom to fungovat bude. Ked si doteraz nepochopil co pisem tak sa to sam asi nenastavis a kontaktuj odbornu firmu, ale podla moznosti nie tu z bodu 1.

P.S> bluetooth mozes zakazat napr. tak ze v spravci zariadeni pravy klik - zakazat. A otestovat pod user uctom ze sa to neda povolit. Alebo ten BT modul uplne z PC vybrat.

ad 3) tak vyberie vpredu kryty na 3,5" mechaniky (za predpokladu ze je to daka ...tower bedna), posmatra v utrobach PC a pripoji si ten sata disk k svojmu ntb a skopiruje :D a bezpecnostny srob aj s plombou nic nezachrani

k verzím windows: do firemního prostředí nepatří home. jde s tím žít, ale pokud ti to dodavatel dodal jako standard místo profi verze, je to packal - a to i v případě, že nepotřebuješ pc přihlašovat do domény. nefunguje normální sdílení řízené uživatelskými právy, není běžně v nabídce karta oprávnění k položkám, není vzdálená plocha, nefungují group policy. všechno se pak musí nějak obcházet.
na ten konkrétní pc kde požaduješ vyšší zabezpečení by nějaká profi verze byla vhodnější. i když jak mi kmochna psal, jeho printscreeny jsou z home verze - ostatně tvé požadavky jsou takové, že potřebuješ podrobněji nastavovat více vlastností, což umí až aplikace třetí strany. řekl bych, že takové nastavení je nad znalosti běžného pc prodejce.

usb: pro sériový přenos dat (na plotr, tiskárnu, myš, klávesnici) zajišťuje běžný ovladač usb.
pro paměťová média (flashku, externí disk) je potřeba funkce mass storage device, kterou zajišťuje další ovladač usbstor.sys
takže buď je možné vyřadit tento ovladač (postihne to pak i správce). lepší postup je nastavení přes gpedit, anebo řídit přístup k různým objektům, viz výše.

z těch usb periferií pak vyplývá, že ten pc nutně nemusí mít dostupnou síť. to by šlo řešit buď změnou parametrů tcp/ip pod adminem (běžný user nemívá práva), nebo stopnutím služeb (workstation, server), nebo podobně jak usb - nastavením oprávnění pro zápis na síť.

krádež dat: photoshop umisťuje do dokumentů číslo licence, corel nedělá ani to. soubory nejspíš nejde označit nějakým tvým digitálním podpisem. ale jak píšeš, tebe poškodí už to že se k nim někdo dostane bezpracně a má to rychle.

Ja by som siel na to inak.
Ako cenne su tie data, ktore si chces zabezpecit? To co pozadujes je uz ozaj highend, pomaly na urovni zabezpecenia vojenskych pc alebo pc v NBU (kde nic take nemaju, bol som tam;o)).
Vsetko sa da spravit, otazkou je cena. Tu neznamu firmu nebudeme podcenovat (aj ked davat Home verzie do firmy...ehm), dajme tomu, ze to zvladnu. Kolko ta to asi bude stat? Podla mna dost.
Druha strana je tvoj pracovnik. Predpokladam, ze sa jedna o bezneho usera. Co vie bezny user robit s pc? Maximalne klikat ako cvicena opica.
Cize jednoduche riesenie, staci zakazat pristup k externym zariadeniam, instalaciu novych, bezpecnostnu politiku na urovni file systemu by som neriesil, dam mu prava len na citanie a skopirovanie je uz znemoznene tym, ze nemoze pridat novy hw (usb kluc, disk) a ina moznost ako dostat data von z pc nie je (pc nie je nikde pripojene).
Cize vlastne je to cele jednoduche, jedine s cim som si neni isty co vsetko povoluju Home verzie, ale ak to nepojde normalne malo by to ist aspon v nudzovom rezime cez konto Administrator a navyse mam tiez ten pocit, ze Win7 uz v Home verzii nepovoluje instalaciu noveho hw (vlozenie usb kluca a jeho nacitanie) user kontam, pretoze takto sme to riesili uz u XPeciek.

Ďakujem, som už rozhodnutý. Ja na to nemám čas ani nery riešiť, mám svojej roboty až až.

Zajtra zoberiem PC kde som ho zakupil, položim im ho na stôl a poviem čo chcem.
Asi sa posnažia to urobiť ako chcem, lebo mám tam objednaný ďalší ploter za cca 3500EUR a fabernú tlačiareň pre formáty bilboardovej reklamy.
Tak nech sa chlapci snažia, ešte ich zdrbem ako mi mohli predávať Home verzie do firmy. Myslím že si s tým poradia, len to chce zase zaplatiť jedného maníka čo mi potom pri preberaní počítača otestuje či fakt tie údaje sa nedajú dostať von bez otvorenia PC.

Precitat si mozes
napr. http://windows.microsoft.com/cs-CZ/windows-vista/W hat-is-a-standard-user-account
http://windows.microsoft.com/cs-CZ/windows-vista/U ser-accounts-frequently-asked-questions

Urob si tam user ucet to je za 5 sekund a over si ktore z tvojich poziadaviek splna.
http://windows.microsoft.com/cs-CZ/windows-vista/C reate-a-user-account (sekcia o pracovnej skupine)

Zajtra zoberiem PC kde som ho zakupil, položim im ho na stôl a poviem čo chcem.

dobre rozhodnutie. z hladiska casu a efektivity najlepsie.

Asi sa posnažia to urobiť ako chcem, lebo mám tam objednaný ďalší ploter za cca 3500EUR a fabernú tlačiareň pre formáty bilboardovej reklamy.

to zavisi na ich vedomostiach, ohanat sa nejakym objednanym tovarom nema zmysel. Nemysli si o sebe ze si nejaky extra zakaznik, ked u nich raz za rok kupis jeden drahy plotter.

Tak nech sa chlapci snažia, ešte ich zdrbem ako mi mohli predávať Home verzie do firmy.

co si si objednal, to mas. Ak to splnovalo tvoju specifikaciu alebo sa to musel cele zmestit do nejakej ceny, tak nemas co koho drbat. Kopa firiem pouziva home verzie OS.

Myslím že si s tým poradia, len to chce zase zaplatiť jedného maníka čo mi potom pri preberaní počítača otestuje či fakt tie údaje sa nedajú dostať von bez otvorenia PC.

skor ci neskor sa diera, alebo sposob ako sa dostat dnu, najde. zabudni na 100% ochranu.

to fleg:

Dáta si cením asi 2 rokmi roboty a sústavne nejakými zlepšovákmi. Neviem akú cenu majú finančne ale pre mňa dosť velkú.

Keď to ešte vylepšim tak o rok, dva,... môžem sa dať dohromady so schopnými programátormi a môžeme uviesť na trh nový konkurenčný program pre tvorbu grafiky a animácií v ktorom sa bude dať robiť podstatne rýchlejšie ako pri konvenčných volne dostupných programoch. Ale veľkú šancu tomu nedávam lebo mnoho profesionálnych firiem v USA má svoje na mieru šité programy ktoré sa voľne nepredávajú.

Bezpecnosti slovenskeho NBU bych se moc neohanel index.php

Mne to hovorit nemusis, som byvaly nadejny zamestnanec oddelenia elektronickeho podpisu, takze som si nejaky nazor pocas navstev na NBU spravil pred par rokmi;o).

PS : pre hackerov pohov!

Vôbec to nedržím na PC pripojenom na internet, nie som negramotný.

Pokud nebudeš šifrovat (TrueCrypt), tak nezapomeň vypnout bootovani z CD/USB a zaheslovat BIOS nebo si tam bootne live Linux a bude to stejně v <>.

Když to tady tak pročítám, tak máš v podstatě problém lehce řešitelný. Vyhoď toho nespolehlivého zaměstnance a nahraď ho někým spolehlivým. Nebudeš muset vydávat další finance na zabezpečení a bůhvíco ještě a budeš v klidu spát. Nového grafika určitě seženeš a zaučení nebude trvat delší dobu než měsíc. Řešíš zabezpečení a oprávnění, ale jakej problém je v tom vzít na víkend HDD fyzicky domů a skopčit ho?

Pokud bude HDD zašifrovaný, tak si ho zkopčit můžeš, ale data nepřečteš a stejně ostrouháš mrkvičku (pokud teda nevlastníš kvantový počítač s implementovaným Shorovým algoritmem).

Ale sám tady prezentoval, že to nechce šifrovat kvuli přístupu k datům i od toho potencionálního zloděje.