Odp: data security.

Pawel Chmielewski pawel.chmielewski w gmail.com
Pią, 10 Gru 2010, 08:17:47 CET 

Punkt 1 mozna rozwiazac za pomoca domeny nt. Mam tak ustawione niektore
komputery, ze nie maja dostepu do zadnego zewnetrznego napedu a na hd user
ma dla siebie200 mb miejsca. Warunek konieczny - serwer domenowy, wszystkie
komputery loguja sie do domeny, uzytkownicy nie znaja lokalnych hasel
administratora badz konta lokalne sa w ogole wylaczone. Przepraszam za
wyglad tego posta, pisze go z telefonu :)

W dniu 2010-12-09 22:57 użytkownik "Paweł Sikora" <pluto w agmk.net> napisał:

witam,

ostatnio pochylam sie nad ogolnym tematem zabezpieczenia poufnosci danych
biegajacych w sieci koropracyjnej.

nie chce tu teraz gdybac nad firewall-ami i polityka w tej materii,
a chce sie skupic tylko na mozliwosci fizycznego wyprowadzenia
informacji z firmy przez uzytkownikow nie majacych uprawnien admina.

w szczegolnosci chodzi mi o...

1).
zabezpiecznie danych przed skopiowaniem na urzadzenia podpiete do:

- portow usb (pendrive, dongle usb2bluetooth).
- portow e-sata.
- portow rs232.
- portow firewire.
- ...

2).
zabezpieczenie danych na dyskach twardych skradzionych z firmowych
komputerow.
tu mam na mysli jakies transparentne szyfrowanie partycji z danymi.
szeregowi uzytkownicy nie moga znac hasel/kluczy, a jednoczesnie musza miec
na maszynie dostep do danych i nie moga ich skopiowac (patrz punkt 1).

oczywiscie, zeby nie bylo zbyt prosto, to w gre wchodza platformy
linux oraz windows.

z tego co pobieznie objezalem to na linuksie sporo da sie zalatwic
przez zabranie uzytkownikom praw do zapisu dla pewnych grup urzadzen,
przez zablokowanie ladowania modulow kernele (grsec), przez zabronienie
tworzenia pewnych polaczen sieciowych (grsec,firewall), przez zachowanie
poufnosci via ipsec oraz przez ecryptfs z administracyjnie zarzadzanym
haslem w autostarcie.

co do windowsa, to tu sprawa wyglada nieco gorzej. sa hack-i do rejestru
blokujace np. zapis na usb[1], ale wyciecie dostepu do innych urzadzen,
to juz chyba tylko przez wylaczenie przez admina kontrolerow w menedzerze,
czy wykasowanie bazy sterownikow, a i to nie wiem czy jest skuteczne :)
z szyfrowaniem partycji to juz w ogole jazda. nie wiem, czy bitlocker,
albo truecrypt podda sie latwo zarzadzaniu tak jak ecryptfs?

tak, czy inaczej, jesli ktos chcialby sie podzielic przemysleniami,
to zapraszam :)

[1]
http://www.howtogeek.com/howto/windows-vista/registry-hack-to-disable-writing-to-usb-drives/
_______________________________________________
pld-users-pl mailing list
pld-users-pl w lists.pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Więcej informacji o liście dyskusyjnej pld-users-pl