Монтирование диска администратором домена.

Памятка пользователя: админ может всё! :) Иначе бы он не был админом.

Содержимое подключенного PGPдиска может просматривать каждый, кто имеет локальный или удалённый доступ к ресурсам машины. Надо полагать, администратор имеет все административные полномочия на рабочих станциях домена. Пока контейнер подключен, админ имеет полный доступ или доступ только на чтение к его содержимому (в зависимости от типа ФС контейнера), ему для этого даже не потребуется парольная фраза. Если очень понадобится, ему не составит труда записать Ваш пароль аппаратным или системным кейлоггером и подключать контейнер в любое время дня и ночи. Но это только если очень понадобится: думаю, у него и помимо Вашего диска работы полно.

Тут есть маленький ньюанс... фаерволом закрыты порты RDP и telnet. Т.е. я прекрасно понимаю, что администратор может установить туда ПО определённого характера, но большинство из него будет заметно. Т.е. меня интересует есть ли возможность чтения данных с раздела pgp, когда он примонтирован, у DomainAdministrator незаметно (кейлогеры всё-таки стоит исключить из рассмотрения в силу обстоятельств)? Я понимаю так, что если диск расшарен, то он доступен (включая стандартные скрытые админские шары). После монтирования раздела net share показывает, что новых скрытых и простых расшаренных разделов не появляется. Тогда вопрос – как можно получить доступ к разделу после того, как его смонтирует пользователь?

Администратор все дела в парке машин только локально ручками делает? Если у него ограниченные полномочия администрирования и нет удалённого доступа к разделам, тогда, конечно, вопросов нет. Но если бы я держал что-то ценное в pgpдике, то поостерёгся подключать это на чём-то, кроме собственного ноутбука. Потенциально админ считать содержимое подключенного диска может. А уж как оно есть у Вас я доподлинно знать не могу.

Конечно нет... Везде стоит RemoteDesktop и TelnetServer. Вот только настройки локального профессионального фаервола блокируют соединения на 23 и 3389 порты. Т.е. для того чтобы войти по RDP или telnet администратор должен отключить локальный фаервол (Agnitum Outpost), а это не останется незаметным. Вот я, собственно, и интересуюсь каким образом ещё можно получить данные с pgp-диска?

ЗЫ
Есть прямая необходимость хранить некоторые данные на доменной машине.

Я бы поставил вопрос иначе: как ещё можно получить удалённый доступ к разделам целевой машины? Именно в контексте системы, ибо сам pgp-диск (даже подключенный) всегда остаётся зашифрован, а доступом к его содержимому ведует системный драйвер pgpdisk.pdr, "на лету" расшифровывая и зашифровывая запрашиваемые данные.

Специалисты по администрированию Windows здесь есть? :)

Только напрасно Вы снимаете со счетов угрозу кейлоггера. Допустим такой вариант: по окончании рабочего дня (или в выходной, когда в офисе не многолюдно) админ заменяет "добросовестный" клавиатурный драйвер модификацией, протоколирующей в локальном файле все нажатия клавиш. Впоследствии ему останется только забрать с Вашей машины "урожай", скопировать файл контейнера и начать его мучить. Обнаружить такую закладку чрезвычайно тяжело (только перед каждым сеансом работы сравнивать контрольную сумму файла клавиатурного драйвера).

Кстати, а где хранится контейнер? На самой машине или, может быть, на флэшке, которую уносите с собой?

re: ЗЫ
В контейнере хранится настолько личная / приватная информация, что нельзя допустить к ней админа организации? Или это именно инфа организации, настолько не доверяющей своему админу? :)

Вы абсолютно правы :), именно так и стоило мне спрашивать... Т.е. именно это меня и интересует. Сам контейнер храниться на одном из разделов локального винта (ибо его размер не позволяет положить его на флешку). Что касается кейлогера, то на каждой машине стоят ежечасно обновляемые антивируснве средства (конечно можно написать свой кейлогер... который они не скоро научатся распознавать, но для этого надо будет сначало войти в помещение, доступ в которое ограничен на физическом уровне).

re re: ЗЫ
Понимаете, в крупных (и не очень) организациях существуют как специальные отделы так и спец. службы, информация которых (например таже бухгалтерия) не должна быть дорступна никому, кроме конкретных лиц, а дело админа ограничивается предварительной установкой и настройкой ПО, а также прокладкой необходимых для работ коммуникаций. Как говорили классики: "Меньше знает – крепче спит" :)

Раз такое дело, может быть проще выделить машины, подобные Вашей, с документами такого характера в отдельную группу, запретить их удалённое администрирование и закрепить это всё в политике безопасности? Сейчас мы пытаемся добиться security through obscurity, а это порочная практика. Не лучше ли, чтобы каждый понимал отведённую для него роль и осознавал ответственность за отступление от неё?

Avatar_X, если у Вас есть права на администрирование, отключите службу сервера. Удалённого доступа к файлам и принтерам на этом компьютере у других не будет.

Также можно предложить перекрыть файерволлом порты NetBIOS, RPC и весь ненужный входящий трафик. Если в Outpost есть возможность временного блокирования всей связи (Block Traffic), можно делать это во время работы с контейнером; после его закрытия связь снова включать.