Jak zabránit zkopírovat data z NTB na USB klíčenku

[Pinďoureček]

Zdravím.

Chtěl bych se zeptat na radu ohledně ochrany cilitvých souborů (dokumenty, apod.) proti neoprávněmému kopírování na USB klíčenku nebo další HDD.

Situace je taková, že mám NTB, který mám v práci puštěn. Pokud odejdu, stává se mi, že kolega napíchne do NTB USB klíčenku a překopíruje si moje dokumenty.

Mám Windows Vista Ultimate edici, kde jsem disk jako takový zašifroval BitLockerem pro případ krádeže disku.
Přihlášení do systému mám přes čtečku otisku prstů ve spolupráci s TPM. I když je kolega také správce a zná moje heslo do účtu ve Windows, tak přes čtečku neprojde a zadání ručního hesla taktéž ne.
Co se týče souborů, zkusil jsem šifrování pomocí EFS, ale sranda je v tom, že pokud nakopíruji data na USB klíčenku přes Total Commander, tak se šifrování na straně USB disku vytratí a data lze spouštět jakoby se nechumelilo. Pokud ale data kopíruji na USB přes průzkumníka systému Windows, tak šifrování funguje a data na USB disku nejdou přečíst, pokud daná osoba nemá certifikát a ověřovací klíč. V průzkumníku jsou i složky šifrované označené zelenou barvou. V Total Commanderu nikoliv.
Pokud se data překopírují na FAT USB disk, tak se šifrování také vytratí, vzhledem k tomu, že EFS podporuje jen NTFS.
Dále mám pocit, že pokud by i kolega kopíroval data přes průzkumníka, všimnul by si, že jsou soubory a složky zelené a jistě by ho napadlo si ve vlastnostech daných souborů šifrování jednoduše vypnout a pak si nakopírovat data na disk.

Dále nechci zakazovat USB přístupy, jelikož USB disky sám používám a nerad se pokaždé odhlašuji od PC, když si jdu odskočit nebo něco pořešit jinam.

Díky všem za případné rady.

[Ssnake]

to mas dobreho kolegu....co treba mu rict aby to nedelal?

btw my v praci mam na kompech fci LOCK - kdyz jdu pryc tak si stanici locknu a ta ceka na heslo (neco ve smyslu jako logoff), nebo si dej sporic s heslem, to je taky otazka vterin

[D00M]

pomohlo by ti zamknout si počítač při odchodu ? to znamená stisknout Win+L?
uzamčení počítače neukončí programy, akorát po tobě bude chtít přihlášení

[petr_]

vista umí povolit přístup pouze ke flashdiskům, které "zná"

[Dony]

pokud nechas nekomu odemcenou svoji plochu, tak nevim, co chces zabezpecovat, to je stejne jako bys nechaval otevreny trezor a divil se, ze to z nej kolega bere prachy, pocitaci je jedno, kdo sedi za klavesnici, takze kdyz ty "nezamknes", cizi ruce jsou pro pocitac porad jako tvoje
pouzivej Win+L

[fero-cz]

http://technet.idnes.cz/ukryjte-duverny ... ftware_dvr

[Pinďoureček]

pokud nechas nekomu odemcenou svoji plochu, tak nevim, co chces zabezpecovat, to je stejne jako bys nechaval otevreny trezor a divil se, ze to z nej kolega bere prachy, pocitaci je jedno, kdo sedi za klavesnici, takze kdyz ty "nezamknes", cizi ruce jsou pro pocitac porad jako tvoje
pouzivej Win+L

Tohle mě ale vůbec nezajímá, logicky si to odvodit je hezký, ale vypovídající hodnotu pro mě to jaksi nemá, pokud nemáš něco jiného, tak je zbytečné reagovat. Ono jde o to, že on moje heslo znát musí stejně jako já znám jeho, v případě, že by se něco stalo. Jsme ve firmě správci.

Nicméně jsem to už vyřešil.
Používám čtečku otisku prstů s TPM modulem a aplikací Omnipass, která šifruje soubor či složku na ověření otisku prstu. Při zašifrování celé složky zadám otisk prstu, poté je možné s dokumenty a jinými soubory pracovat dokud složku nezavřu, takže nemusím při jednotlivém otevírání souborů tápat prstem přes otisk. Když okno zavřu a znovu otevřu, tak opět žádá otisk. Při překopírování ať už na FAT nebo NTFS disk je to stále zašifrované. Vytvořil jsem si i certifikát pro použítí na jiném PC. Dále jsem nastavil, aby nebylo možné přihlásit se klasickým způsobem, ale byla zohledňováno jen přihlášení přes ověření otisku, takže i pokud zná mé heslo, je mu to nyní k ničemu. Takže nakonec pro mě ideální až trochu paranoidní varianta a bude od něj pokoj, leda že by mi uříznul prst.

[[CZ]Airwolf[OC]]

Takze kolega se nemuze prihlasit na tvuj komp kvuli otisku prstu i kdyz zna heslo...Pritom heslo znat musi.

Hm, to jsi mohl rovnou to heslo zmenit...

Paradoxni divny pristup.

[Pinďoureček]

Takze kolega se nemuze prihlasit na tvuj komp kvuli otisku prstu i kdyz zna heslo...Pritom heslo znat musi.

Hm, to jsi mohl rovnou to heslo zmenit...

Paradoxni divny pristup.

On se musí přihlásit, ale na stolní mašinu, pokud bych měl třeba dovolenou a potřeboval by využít aplikaci, kterou mám pod správou. Uživatelský jména potřebuji mít jak na stolním tak NTB stejné kvůli serverům. Mě šlo jen o NTB. Takže změna hesla by nic neřešila, stejně by se ho později dožadoval.
Teď je mu heslo k účtu k ničemu, vzhledem k tomu, že při pokusu o přihlášení na NTB ho bude varovat hláška, že nejdříve musí být ověřen otisk prstu.

Ano, můj přístup může být jakkoliv divný, ale to je má věc a divnější už to být nemůže, když mi jediný kolega kopíruje data.

[Dony]

Ucet administratora infrastruktury by nemel byt standardni uzivatelsky ucet, a administratori by meli pro beznou cinnost pouzivat standardni ucty s omezenym opravnenim (tudiz nikdo jiny nemusi znat tvoje uzivatelske heslo), navic administrator by mela byt osoba natolik duveryhodna, aby nezneuzivala data uzivatelu... (bohuzel realita je jak vibno casto jina...)

[Pinďoureček]

Ucet administratora infrastruktury by nemel byt standardni uzivatelsky ucet, a administratori by meli pro beznou cinnost pouzivat standardni ucty s omezenym opravnenim (tudiz nikdo jiny nemusi znat tvoje uzivatelske heslo), navic administrator by mela byt osoba natolik duveryhodna, aby nezneuzivala data uzivatelu... (bohuzel realita je jak vibno casto jina...)

Přesně tak. Jenže oba jsme jako osoby administrátoři, ne uživatelé. Sedíme vedle sebe a moc důvěry k němu teda nemám. No ale problém mám vyřešen, tak pokud se o to znovu pokusí, asi mu dojde, že jsem o tom věděl.

[D00M]

jakpak? pochlub se

[VasekB]

pokud je admin, tak vubec nemusi chodit k tvemu notebooku, staci kdyz tam vleze prez \\pc\c$ ;o)

nechapu proc potrebujes mit stejne user:pass na notebooku i serveru... existuje uz davno zazrak RunAs pripadne "net use"

[Pinďoureček]

pokud je admin, tak vubec nemusi chodit k tvemu notebooku, staci kdyz tam vleze prez \\pc\c$ ;o)

nechapu proc potrebujes mit stejne user:pass na notebooku i serveru... existuje uz davno zazrak RunAs pripadne "net use"

Panečku a jak by se tam asi dostával, když mám vypnuté sdílení
Jméno i heslo musím mít stejný, je to kvůli firemním aplikacím a portálům, takže to nemá smysl řešit.

DoomHammer: už jsem to napsal výše . Přihlášení mám jen přes snímač ověření otisku prstu s TPM a soubory šifruju stejnou metodou.