[dmp]

Как-то тут в новостях прочел, что вломились "маски-шоу" в бухгалтерию, а, по-видимому, у бухгалтера было "рыльце в рушку", и она выбросила ноут в окно. Как бы, хочу поделиться небольшим секретом (я себе на ноут поставил Windows Server 2008, и обнаружил эту фичу). Есть 2 способа послать в зад оставить без улик проверяющие органы: использовать BitLocker на системный диск, и использовать возможности EFS для секретных материалов, которые будут лежать в отдельной шифрованой папке. Система сама создает сертификат, закрытый ключ лежит в системе, система зашифрована и защищена BitLockerom - ключ от ларца лежит в ларце, а ларец закрыт на ключ

use case в работе такой:
1) BitLocker: ключ на старт - на флешке: перед загрузкой системы, венда просит вставить ключ. Как только он будет успечно свалидирован - система попросит его вынуть, и продолжит загрузку. Без этого ключа, система не стартанет, а вся информация на системном диске - зашифрована. даже низкоуровневый доступ спец. утилитами (типа ERD Commander) запрашивает ключ (или пароль, для восстановления ключа)
2) EFS: заходим в Проводник, клацаем на папку или файл, далее Свойства, Общие, Атрибуты, ставим галочку напротив "Шифровать блаблабла" - если эта фича используется первый раз, и в системе нет сертификата шифрования файловой системы - мастер поможет его создать. Теперь, чтобы прочесть какой-либо файл, нужно, чтобы именно этот сертификат в системе находился. без сертификата его не прочесть НУ НИКАК, скажем так.
3) В настройках электропитания ставим на кнопку включения спящий режим (hibernate), а на закрытие крышки ноута - его выключение. И можно спать спокойно, в случае чего резко можно обесточить компьютер, и все улики будут в целости и ссохранности, и под 10 замками кстати, фича BitLocker есть и в Виста Ультимэйт, но ставится отдельно. И кстати, настройка битлокера - дело немного мудреное, в нескольких строчках не рассказать

Для пользователя это все будет прозрачно и незаметно, разве что при старте системы прийдется один раз вставлять флешку (которую береь как зеницу ока, и хранить в секретном месте). на эту же флешку можно записать и вышеописаный сертификат шифрования файловой системы - чтобы проимпортировать для других пользователей этого компьютера, или на другие компьютеры, чтобы была возможность доступа к секретным файлам

[ZENA]

это конечно интересно , но компы заберают в спецотдел в область и поверьте там спецы сделают с ним все что хотите и прочтут
информацию ( к примеру  стертая инфа и очищена корзина , а польностью восстановили ..... )

[Yuriy]

к примеру  стертая инфа и очищена корзина , а польностью восстановили .....

да фигня это, при таких исходных  школьник восстановит информацию за 5 минут

[dmp]

это конечно интересно , но компы заберают в спецотдел в область и поверьте там спецы сделают с ним все что хотите и прочтут
информацию ( к примеру  стертая инфа и очищена корзина , а польностью восстановили ..... )

То все понты, потому что:
1) Когда вы удаляете файл - он копируется в корзину, скажем так, в виде как есть. Исходный файл в системе удаляется - т.е. он ПЕРЕИМЕНОВЫВАЕТСЯ (добавляется спец. символ в его имени, и вроде ставится соотв. атрибут), а также обнуляется цепочка указателей на кластера в FAT таблице. НО САМО СОДЕРЖИМОЕ ФАЙЛА ОНО НА ДИСКЕ ЕСТЬ В ЯВНОМ ВИДЕ. В незанятых кластерах.
2) Когда файл удаляется из корзины - он просто удаляется из корзины, и все.
В этом варианте спецы не помогут (как минимум 32 битное RSA шифрование, ёпт ) - все данные зашифрованы и взлому 99.999 и еще 9 в периоде процентов не подлежат

[Зверобой]

Есть такая штука, как Терморектальный криптоанализатор, которая взломает любой пароль

[dmp]

Вариант с зажиманием яиц в дверь получением доказательств, не действительных в суде, мы не рассматриваем

[dmp]

Либо ситуация - пришли проверить на наличие лицензионности программного обеспечения. ну нате, проверяйте. ах, не включается? так выключатель сгорел, против себя я имею право не свидетельствовать, вам надо - вы и включайте, и доказывайте
Кстати, если винт вставить в другой комп - вся инфа будет безвозвратно утеряна, и разлочить можно только паролем, похожим на GUID

[ZENA]

у меня маленький съемный диск ( как спичечный коробок , он и по дизайну один в один на 180 гиг , когда менты сумку перерывали его за спички приняли натурально , поскольку там в верхную крышку ложат спички и они торохтят , и они натуральные ) при втыкании оного незнакомцем ( не зная тонкостей и пароля ) он полностью очищаеться , способ уже проверен,и это пока для меня лично единственный способ спать спокойно....

[dmp]

Zena, а Вы случайно не фигурант этого дела?
У Вас, похоже, SSD накопитель: http://it-master.biz/chto-luchshe-diski-ssd-hhd
В принципе, тоже вариант, но только вся инфа будет утеряна, как я понял. А это не всегда есть хорошо. ИМХО

[ZENA]

нет , но там пострадала моя коллега и офисы наши были в одном здании , они трусили в тот день
всех без объяснения , многие фирмы до сих пор не могут забрать свою технику из Донецка , наши
адвокаты защищали 6 фирм и мы подали в суд сразу , сейчас технику забрали , но с трудом , а моя
знакомая в тот день была дома с компом и работала , она приболела и вот результат , у них даже
по решению суда не был указан ее домашний адрес , а только адрес офиса , но как видите пришли
и что сотворили , я  насмотрелась и как говориться , чувствую будущий год и пройдя по поводу этих
разборок с налоговой не один суд , я поняла одно - на местах может и сидят простачки , но в областях
и в спецотделах там совсем не лохи , а времена наступают очень жестокие и надо быть готовым
к всякой гадости .....хорошего я впереди не вижу .....

[горобець]

если уж пошла такая пьянка что инфа супер-пупер ценная и за эту инфу "яйген крутен" - взять колокейшн где нить за бугром, и работать удаленно через терминал и защищенное соединение. многие аферисты так и поступают.

[ZENA]

бухгалтерский учет так вести - стремно и как-то дико    и потом бухгалтера они не аферисты , а самоубийцы....

[dmp]

Если слово "collocation" заметить словосочетанием "выделенный сервер" - то да, как вариант - вполне. а как насчет распечаток? Можно, конечно, на сервере генерить файлы, типа pdf, по сети их заливать локально и печатать - следы в виде файлов останутся. Потом, сертификат шифрования на защищенный канал - нужно, чтоб хостер разрешал в своей политике безопасности поставить фактически невалидный сертификат, если не покупать его за 400 долларов у tawthe или других доверительных центров сертификации (во всяком случае, на shared хостинге такой финт не прокатывал). Либо для распечатки использовать принтер с возможностью принт-сервера, имел адрес, зареганый в DNS либо имел статический IP адрес. Да гемор это! 
p.s. Кстати, если файлы удалять с флешек или карт памяти - несмотря на то, что Винда говорит, что файл будет удален безвозвратно - это означает, что файл она просто не сможет восстановить. Файлы с флешек восстанавливаются нараз.

[aidared]

Если слово "collocation" заметить словосочетанием "выделенный сервер" - то да, как вариант - вполне. а как насчет распечаток? Можно, конечно, на сервере генерить файлы, типа pdf, по сети их заливать локально и печатать - следы в виде файлов останутся. Потом, сертификат шифрования на защищенный канал - нужно, чтоб хостер разрешал в своей политике безопасности поставить фактически невалидный сертификат, если не покупать его за 400 долларов у tawthe или других доверительных центров сертификации (во всяком случае, на shared хостинге такой финт не прокатывал). Либо для распечатки использовать принтер с возможностью принт-сервера, имел адрес, зареганый в DNS либо имел статический IP адрес. Да гемор это! 

Вот это фантазия. ))) Вам знакома аббревиатура RDP?

[Yarik]

Серж предложил самый лучший вариант

с нынешними скоростями - ничего волшебного

у нас есть клиент, хозяева в Маскве... так вот они взяли такой канал - шоб начальство 1С из Масквы могло глядеть...

опять же сервер не обязательно должен быть за бугром... даже в этой стране - главное что он не в одном офисе... пусть дома у кого из сотрудников...