למקום העבודה שלי דרוש מחשב שיכיל מידע רגיש. אנו מעוניינים שרק שני משתמשים יהיו קיימים - administrator ומשתמש נוסף, שלו לא תהיה אפשרות גישה לרשת, ולא לשמירת קבצים דרך USB או כל אפשרות אחרת.

כמו-כן המידע שבפנים צריך להיות ממודר כך שכל אדם שעובד על המחשב (כולל ה-admin) יוכל לראות רק את הקבצים המורשים לו.

אילו פתרונות מתאימים קיימים (ברמת החומרה ו\או התכנה)?

לא מדובר בסודות צבאיים אך בכל זאת זה מידע שאסור שיצא החוצה.

תודה!

לקנות מחשב ולנתק (פיסית) כל רכיב שמטרתו הוצאת מידע (כרטיס רשת,תקליטורים,USB ועוד..)

אפשר לממש הגבלות דרך local security policy.

המידור של המידע פשוט לממש עם הרשאות NTFS.

לקנות מחשב ולנתק (פיסית) כל רכיב שמטרתו הוצאת מידע (כרטיס רשת,תקליטורים,USB ועוד..)

אפשרי לנתק פיזית יציאות USB מלוח האם?

אפשר לממש הגבלות דרך local security policy.

המידור של המידע פשוט לממש עם הרשאות NTFS.

הרשאות NTFS אפשרויות רק שיוצרים מס' משתמשים ל-windows? או שאפשרי גם כשיש רק משתמש אחד ודרושה סיסמה על-מנת לגשת לקבצים?

לעמיין המידור חשבתי יותר בכיוון תוכנה שתעשה את זה, באמצעות סיסמאות או בעזרת קורא טביעות אצבע.

תרשה לי לתת לך טיפ - כל מידע שניתן לקריאה ניתן להעתקה. אם באמצעים חכמים (מדיה נתיקה \ חיבור דיסק קשיח משני במחשב \ אינטרנט \ דואל וכיוב') - או בשיטות "עוקפות" (הדפסה על דף \ צילום פיזי של המסך באמצעות מצלמה דיגיטלית ועוד כל מיני "שמיניות באויר). אז עצתי לך - אם אתה לא סומך על מי שאתה חושף בפניו את המידע אז אל תחשוף. לא צריך להיות מרגל כדי להעתיק מידע שלא צריך להיות מועתק.

מדובר ככל הנראה על נוהלים של שמירה וסיווג.

כעיקרון מארז אפשר לנעול עם מנעול. לא משנה שאפשר לשבור אותו העיקר שיהיה מנעול שימנע את פתיחת המארז. צורב אסור לשים רק קורא או בכלל לנתק.

USB מאחורה מנתקים

מקדימה פשוט לא מחברים ללוח אם את ה USB .

דיסק קשיח צריך להיות במגירה מאובטח עם מפתח. כלומר זה מנעול שני אחרי שפתחו את המארז שהוא לא יהיה נגיש.

זה מהבחינה החומרתית

או שיותר מאובטח זה להתקין לינוקס בעת התקנה לבחור בהצפנת דיסק קשיח

שבעת אתחול מערכת הפעלה היוזר יצטרך להקיש סיסמה כדי לאפשר אתחול ועליה

של המערכת הפעלה בנוסף לאחר מכן להקים שני יוזרים אם סיסמה שונה

כל יוזר יעבוד בשולחן עבודה שלו ולא יוכל לגשת לתיקיות של יוזר השני

או ההפך במיד והדיסק קשיח מישהו יגנוב אותו או לא יודע מה לא יוכל

לפנח את המידע של גבי הדיסק ללא מפתח הצפנה

למה לנתק פיזית?

כנס לGroup Policies ויש שם Policy שמנטרל התקני אחסון חיצוניים.

בנוסף אם זה מחשב שיעבוד לוקאלי (Local) ולא בדומיין ובכלל יהיה מנותק מהרשת פיזית פשוט תגדיר הצפנת ביטלוקר לדיסק (מצפין את הדיסק ככלל), ושכל יוזר יגדיר לתיקיית המסמכים[עבודה שלו EFS. לא לשכוח להגדיר Recovery Agent ולגבות אצלך את המפתח בכספת או משהו.