Защита офиса от маски-шоу
Хочу обсудить такую тему: стоит задача обезопасить офис от внезапного вторжения "маски шоу". В офисе 5 компов, на 4 из них сотрудники работают с конфиденциальной информацией (чаще всего xls файлы), на 5-м хранится база 1С к которой остальные 4 компа почти постоянно подключены. Идея обеспечить такую защиту чтобы при вторжении можно было быстро выключить компы и успеть сделать глупые лица типа "ниче незнаем" :)
Есть два варианта: 1) зашифровать винты всех компов каким нибудь WDE. Недостаток: все WDE имеют некоторые проблемы которые могут привести к порче существующей информации; также WDE сильно тормозят систему, а компы не самые новые. diskcryptor не тормозит, но его пока что стремно ставить на чужое добро – на своем уже давно стоит.
2) установить один мегашифрованые темже WDE сервер и хранить на нем все файлы и базы 1С. При необходимости выключил его и все. На остальных компах отрубить файлы подкачки и возможно сделать дополнительные настройки.
Пока склоняюсь к 2-у варианту потому что на настройку первого уйдет много времени и он более рискованый. Также интересует какие еще настройки нужно сделать на компах кроме отключения файлов подкачки.
Прошу ваших советов как лучше сделать. Желательно на основе бесплатного ПО. Всякие проприетарные решения с "красной кнопкой" не подходят потому что дорогие и проприетарные :)
комментариев: 21 документов: 1 редакций: 1
Ну да офф топ :(
Чтобы винда работала долго, надо у юзеров админские права забирать, нехрен. И будет винда работать долго и счастливо.
Настройка терминального сервера, пернос информации и рабочих программ на сервер, вынос собственно терминального сервера либо в стойку к провайдеру (самый простой вариант но не самый безопасный) либо в места никак собственно с организацией не связанные – например в помещение арендованное другим юр. или физ. лицом. Построение защищенного VPN тунеля к терминальному серверу. PROFIT!
После чего в случае внезапных "маски-шоу" достаточно просто потушить инет или VPN сервис, для того чтобы указанный сервер исчез из локальной сети.
При этом, в случае например конфискации рабочих машин работа организации продолжается.
Ну а далее собственно можно закручивать гайки – использование криптографии на терминале и/или VPN шлюзе, использование достаточно простых средств для удаленного ресета и/или шатдауна терминалки и/или VPN шлюза etc.
Брали у них программы Z-server для защиты серверов и компьютеров. В комплекте радиокнопка-брелок, при нажатии которой серверы гасятся, пароли сбрасываются. Для того, чтобы запустить сервер, необходимо собраться трём человекам одновременно с разными смарт-картами, на которых хранятся ключи.
И к вопросу о "терморектальном криптоанализе" – если в качестве ключа TrueCrypt использовать файл на, к примеру, флешке, при извлечении которой контейнеры/система закрывается, а сама флешка физически разрушается при начале "шоу" – сможет ли это уберечь персонал от силовых воздействий по получению паролей?
комментариев: 9796 документов: 488 редакций: 5664
Флэшка хранится в ректальном контейнере с пиропатроном?
комментариев: 8 документов: 41 редакций: 15
сервер с бд стоит вне офиса, и юридически с фирмой никак не связан. Подключение к нему – строго VPN через VDS на зарубежном хостинге.
Все правильно. Тут нужно говорить о конкретике. Какие спецслужбы интересуются, какими сведениями обладают, да и все зависит от следователей и оперов. К примеру, если следственные действия выполняются строго в соответствии с законодательством, тут гораздо сложнее собрать/забрать что-либо, нежели скрыть. Любая ошибка следователя/опера – и делу конец. Но, если ребята действуют жестко и имеют рычаги давления – тогда и правда сами все скажете. Да и всегда можно найти что-либо другое и использовать для развязывания языка. Да и не факт что в организации все такие стойкие и не сдадут с потрохами.