Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Слава on February 24, 2007, 13:55:45
-
Тут меня гложут два вопроса, может, кто знает ответ...
Вопрос А: Есть, например, пользователь Incognito, который хранит на NTFS-винте свою приватную информацию. Некий недоброжелатель (не Администратор!), скажем, снимает винт и ставит на другую машину, где создает своего пользователя Incognito и скачивает все и спокойно ставит винт обратно... Возможно такое? Если возможно, то как с этим бороться?
Вопрос Б: Вот захотел я увеличить емкость винта. Как мне перенести на больший винт все информацию, что-бы:
а) сохранилась все файлы, в том числе и недоступные на чтение администратору,
б) что-бы остались все NTFS-разрешения
в) что-бы все reference и junks так-же скопировались верно (т.е. с сохранением ОДНОГО объекта и множества сылок на него)
Спасибо!
-
A.1) Есть имя пользователя, а есть идентификатор пользователя. Если даже на одном и том же компьютере сначала удалить пользователя, а затем создать нового с тем же именем, то и идентификатор у нового пользователя будет новый - не совпадающий со старым. А права в NTFS назначаются именно для идентификаторов пользователей, а не для их имен. Это оболочка операционной системы подставляет имена пользователей вместо идентификаторов - так проще администрировать. На разных компьютерах тем более получатся разные идентификаторы.
A.2) При стандартных настройках прав, есть некоторые категории пользователей и групп, которые должны иметь доступ к файлам пользователя кроме его самого, например, учетная запись SYSTEM, группа Администраторы и т.д. У SYSTEM идентификатор стандартный, у группы Администраторы, кажется, машинно-зависимый идентификатор, но практика показывает, что фактически на разных компьютерах эти идентификаторы также совпадают. А это значим, что если подключить винт-жертву к своему компьютеру (где пароль администратора известен) можно все прочитать без проблем.
A.3) Сам не пробовал, но читал, что есть утилиты под разные операционные системы, например, Windows 98 и Linux. Эти утилиты позволяют читать информацию с NTFS разделов, не взирая на права доступа.
A.4) NTFS поддерживает прозрачное шифрование при размерах кластера не более 4Kb. Это, пожалуй, самый мощный способ запретить доступ к данным. Но имейте ввиду пункт A.2 - можно получить доступ к SAM и, подобрав перебором пароль пользователя, получить необходимый доступ. Перебор – лишь вопрос времени. Чем сложнее и длиннее пароль – тем дольше необходимо перебирать.
A.5) А с недоброжелателями, которые снимают винты, необходимо бороться организационными методами.
B ) Norton Ghost и тому подобные программы.
P.S.: Читайте литературу - ее полно по данным темам и в ней все популярно объясняется.
-
A.2) При стандартных настройках прав, есть некоторые категории пользователей и групп, которые должны иметь доступ к файлам пользователя кроме его самого, например, учетная запись SYSTEM, группа Администраторы и т.д. У SYSTEM идентификатор стандартный, у группы Администраторы, кажется, машинно-зависимый идентификатор, но практика показывает, что фактически на разных компьютерах эти идентификаторы также совпадают. А это значим, что если подключить винт-жертву к своему компьютеру (где пароль администратора известен) можно все прочитать без проблем.
Ну тут дело даже не в совпадении sid'ов а в том что (под виндой) у локального админа есть привилегия "take ownership", т.е. он может стать владельцем любого файла, а затем выставить на него любые разрешения.
А так, против съёма нет приёма кроме полного шифрования.
-
A.3) Сам не пробовал, но читал, что есть утилиты под разные операционные системы, например, Windows 98 и Linux. Эти утилиты позволяют читать информацию с NTFS разделов, не взирая на права доступа.
Под линуксом можно обойтись штатными средствами для чтения NTFS.
И даже снимать винт нет необходимости... просто загрузившись с CD
-
Большое спасибо за пространный ответ, особенно sie!
А. Все ясно. Что бы г. Incognito не пострадал, его винту нужно шифрование и охранник с ружжем возле компа под замком в пуленепробиваемом сейфе
Интересно, сколько времени заниемает подбор, скажем 12-буквенного пароля на современных компах - несколько часов, наверное?
-
Интересно, сколько времени заниемает подбор, скажем 12-буквенного пароля на современных компах - несколько часов, наверное?
Все зависит от алгоритма перебора.
Если это не простой перебор от одной буквы до 12-ти значного слова в алфавитном порядке, а случайные выборки с квитированием в словаре, то совпадение может встретится в любой момент...
-
Секъюрность и NTFS низкая....
как вариант - приклей винт на супер клей, а корпус завари или повешай на него замок амбарный, и незабудь убрать с него сидиром и дисковод.
это конечно полный изврат но нечего более занимательного под windows посоветовать нельзя.
-
я думаю можно просто датчики оповещения вскрытия корпуса поставить можно. сидиром и дисковод можно и неубирать, просто отключить с них загрузку в биосе. биос запаролить. проблема будет только в своевременном оповещении конечного диспетчера безопасности (ну тебя например как сисадмина). Я с такими датчиками не работал ниразу - но если на срабатывание можно забиндить каким-нибудь образом отсылку email-сообщения - то вообще прекрасно. Email кроме ящика направлять на sms-гейт твоего оператора. При вкрытии корпуса будет приходить тебе (или нач службы безопасности) электронка + смска. Дальше если тебя нет на месте - звонок охране (предварительно связку отработать) и фсе. Злодей повязан. Пару раз - и такое прекратится если состав работников постоянный. Также при устройстве на работу в ознакомительный инструктаж ввести пункты о наказуемости данных действий.
У нас практиковали опечатывание корпусов с росписями ответственных - но ввиду большого количества филиалов и малого количества АСУшников все загнулось.
-
Да можно просто на винчестер пароль поставить, и никто кроме вас не сможет воспользоваться им, не зная пароля.
Правда если пароль забудете, то все...
Данные можно будет снять только непосредственно с блинов на спец. оборудовании.
-
Да можно просто на винчестер пароль поставить, и никто кроме вас не сможет воспользоваться им, не зная пароля.
Как это делается?
-
Самый простой способ - с помощью программы MHDD из-под DOS. Или в Linux с помощью утилиты hdparm. Инструкция по MHDD идет вместе с программой.
Вожможно есть утилиты от самих производителей винчестеров.