aleks2
Для сведения:
1) EFS-шифрованные файлы спокойно бэкапятся/ресторятся... в шифрованном виде.
2) Агент восстановления не имеет доступа к шифрованным ДО создания агента файлам.


Ну да, агента восстановления не ильно страшны, т.к. им можно убрать почти все полночия, кроме восстановления и, тем более, закрыть доступ стандартнами Win средствами.

aleks2
To change the recovery policy for the local computer...
NotesYou must be logged on as an administrator or a member of the Administrators group in order to complete this procedure. If your computer is connected to a network, network policy settings might also prevent you from completing this procedure.


так это ж вроде хорошо в контексте моей задачи... Запретить созданному главным админом ущербному под-админу создавать агентов восстановления! И тогда ему проблемно будет докопаться до EFS-файлов.

rrrrrrrrrr
имхо все равно нереально все это.
1) зайдя по смарт-карте, админ сможет сделать все, что ему лично нужно (переместить ваши данные) каким-нибудь бинарником, не привлекая чьего-либо внимания (т.е. даже если вы будете контролировать, что он делает на сервере, ему достаточно вставить компакт-диск с хитрым автозапуском или дважды щелкнуть на какой-либо замысловатый setup.exe, замаскированный под что угодно. Т.е. узким местом всегда будет то, что админ иногда все же имеет доступ к системе. А тут и пяти минут бывает достаточно, если предварительно подготовиться.
2) администратор всегда может запустить процесс в вашем пространстве (т.е. от вашей учетки и не вводя ваш пароль - достаточно подменить ехе-файл какой-либо общей сетевой программы или вписать соотв. процедуру в учетную программу и т.п.) или просто получить ваши имя-пароль (вчера описывал, как это делается с помощью ginadll. В этом случае ему и не надо быть агентом восстановления, достаточно быть администратором на вашей машине или в домене.
Это только первое что пришло на ум, когда представил себя на месте вашего админа.



ну это, конечно, все правильно.. Речь идет как раз о том, чтобы этого суперадмина убрать, оставить ущербных наместников. Такой вот несколько искусственный способ.

Система, о которой идет речь, это как бы отдельный домен внутри компании, около 200 пользователей, где крутится особо конфиденциальная информация. Как то хотелось бы подгадать, чтобы этим ущербным наместникам хватало своих полномочий для ежедневного администрирования, а для серьезных действий админу будет позволено вытащить свою смарткарту из сейфа. Конечно, он и за это время потенциально может пакосте наделать, это бесспорно, но все таки как-то ограничить его получится.

Еще забыл сказать, пользователи работают через терминал, данные их хранятся на серваке, который как раз и надо защитить.



Sergey Orlov
Любая попытка затереть лог запишется в лог.
Вообще-то разговор становится беспредметным.
Если уж так важна информация, то ставьте терминал сервер и ходите на него с бездисковых машин и прочих прелестей в виде флешек, дисководов, загрузкой операционки по сети ну и прочими прибамбасами... Linux по сети + rdesktop, к примеру. Правда, наверное сетка гигабитная и виндовый сервер нужны, ну разве ж это проблема сейчас...


Ага, все так, но на винде...(.. Но это, скорее, от юзеров защита.


Green2
Вообще то такая задача очень сложная технически,
легко решается организационно, если принять,
что администратор имеет доступ к информации.


нашли продукт такой Safe boot Content Encryption называется.. Вроде как раз для подобных целей - там свое шифрование, иерархии админов безопаности и проч. Т.е. направлено все на то, чтобы админа ОС отрезать от пользовательских данных. Ну, конечно, опять же все условно.. Если очень захотеть...

Green2
Замечу, что автор бросил топик и ушел.
Дисскусия развивается по своей дороге...


я тут:)


В общем, получается , надо поиграться правами и настройкакми политик безопасности и восстановления. И создать "оптимальных" под-админов с меньшими правами...