ССР (Советы и СекРеты)

Эти ССР пишутся в поезде на верхней полке купе под аккомпанемент храпа и стук колес. Опасливые взгляды соседей на ноутбук никак не располагают к полноценной работе, да и, если честно, здорово хочется спать. Посему буду краток - Темза, сэр. Шутка.


Дадим отпор админам - шифруемся на высоком уровне

Как закрыть доступ к своему компьютеру так, чтобы даже технические специалисты не смогли воспользоваться вашей конфиденциальной информацией? В больших организациях, предпочитающих авторитарный стиль руководства, этот вопрос актуален. Я уже не раз касался темы приватности, особенно в интернете, но, в основном, это был поверхностный обзор возможностей. На этот раз мы поговорим о комплексе мер, который поможет добиться решения конкретной задачи - защита рабочего компьютера от посягательств со стороны IT-профессионалов уровня выше среднего.

Сразу оговорюсь, что для воплощения нижеописанного в жизнь вам потребуются права локального администратора на машине. В противном случае бороться с надзором весьма и весьма сложно.

Первым делом предупредим прямое вторжение на ваш компьютер со стороны системных администраторов. Думаю, вам известно, что они могут при помощи различных средств "сбросить" ваш пароль и войти на компьютер под вашей учетной записью. Наивные средства вроде установки пароля в BIOS на загрузку компьютера рассматривать не будем. В Windows 2000/XP есть такая утилита - syskey. Ее назначение - шифровать пароли всех учетных записей, в таком зашифрованном виде они и хранятся в базе данных учетных записей (SAM) Windows. По умолчанию syskey шифрует пароли ключом, который генерируется автоматически. Но есть возможность делать это вручную. В таком случае при запуске Windows вам потребуется ввести пароль, который будет использоваться для расшифровки паролей всех учетных записей вашего компьютера. То есть это будет происходить еще до появления окошка входа в систему. Сбить пароль syskey не под силу ни одному сисадмину, к тому же при такой защите даже специализированные дискеты/CD для сброса пароля локального администратора приведут лишь к краху системы. Я вас убедил? Тогда в меню Пуск выполняем команду syskey. В появившемся окне жмем кнопку Обновить и потом активируем пункт Пароль запуска. Вводим два раза пароль (он должен быть сложным!) и нажимаем ОК.

Так. Атакой "в лоб" нашу систему сейчас не возьмешь. В таком случае хитрые сисадмины обычно снимают диск с вашего компьютера и подключают его к другой машине, чтобы прочесть содержимое всех папок и получить доступ ко всем файлам. Сейчас мы обломим их и в этом направлении. Во-первых, всю приватную информацию следует хранить на зашифрованном диске PGP (www.pgp.com), который при старте системы, после ввода пароля, выглядит как обычный локальный диск. Зато получить к нему доступ по сети или подключив ваш жесткий диск к другому компьютеру не получится. Все содержимое зашифрованного диска будет находиться в файле с расширением pgd, который преспокойно можно хранить на виду. Расшифровать данный файл почти нереально.

Во-вторых, папки Program Files, Documents and Settings, Windows/Temp следует зашифровать с использованием EFS. Кликните на папке правой кнопкой мыши, выберите Свойства. В появившемся окне нажмите Другие и поставьте птичку напротив пункта Шифровать содержимое для защиты данных. Чтобы все сработало, необходима NTFS. Этот ход пригодится на случай, если важные данные случайно попадут во временные папки, что-нибудь "засветится" в истории браузера или почтовой базе (хотя, лучше работать с личным ящиком через веб-интерфейс, используя SSL (указывать вместо HTTP HTTPS). Использование EFS не так ресурсоемко, как PGP, и абсолютно не заметно для вас при работе. Зато при переносе диска на другую машину довольно эффективно. Однако EFS взламывается при наличии определенных программ, так что мы доверяем этой файловой системе данные вторичной важности.

Если злым админам не удалось получить доступ к папкам с секретной инфой, то они, скорее всего, прибегнут к последнему средству - восстановлению удаленных файлов - в надежде, что "всплывут" ваши приватные документы, которые вы удалили с обычного диска после переноса на шифрованный. Ну что же, останется только подложить им свинью и на этом направлении (благо, год располагает).

Окончательно удалить удаленные файлы поможет команда cipher /w, выполненная для каждого логического диска или, на худой конец, дефрагментация.

И напоследок парочка мелких советов.

Мелкие заметки лучше хранить в зашифрованном виде, я пользуюсь для этих целей программой fSekrit.

Для общения в ICQ на приватные темы желательно использовать мессенджер Miranda с плагином Acrypter, который шифрует сообщения между вами и выбранным собеседником (у него тоже должен быть этот плагин). Кстати, Miranda лучше целиком хранить на зашифрованном диске, тогда нет опасности, что кто-то прочтет историю сообщений.

Само собой, что когда вы отлучаетесь от компьютера даже на пару минут, его нужно "лочить", используя либо комбинацию Win+L (работает в Windows XP и старше), либо Ctrl+Alt+Del и появившуюся в окошке кнопку Блокировка.

Надеюсь, я ничего не забыл в спешке. К сожалению, очень мало времени... и, кажется, за мной следит проводница.


Просмотр в "Блокноте"

Чтобы быстро просмотреть содержимое какого-либо файла в "Блокноте", введите в меню Пуск команду вида: notepad имя_файла, например: notepad c:\boot.ini.


Он есть!

В предыдущем выпуске нашей рубрики в совете "Firefox: как сделать женщине приятно" я сетовал по поводу отсутствия присутствия отличного плагина Imagepref для версии Firefox 2. На форуме Валик Муха поправил меня и дал весьма ценную "сцылку", по которой можно скачать Imagepref для второй версии браузера - forum.mozilla-russia.org/uploaded/ImagePref-2006-08-06-rus.xpi. Теперь картинки снова можно отключать одним кликом!


Диспетчер задач

Снять зависшую задачу обычно помогает сочетание Ctrl+Alt+Del и клик по кнопке Диспетчер задач. Однако этот способ не самый удачный, поскольку долгий. Есть путь короче - Ctrl+Shift+Esc.


Радиозубы

Сумасшедшие англичане недавно спроектировали зубной имплантант (www.ananova.com/news/story/sm_607957.html), который может принимать сигналы, посланные по радио, с мобильного телефона или компьютера. Пломба-радиоприемник вживляется в зуб с помощью обычной стоматологической операции.

Дмитрий БАРДИЯН,
[email protected]

Версия для печатиВерсия для печати

Номер: 

07 за 2007 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Oleg
Привет, Дмитрий!

Прогресс не стоит на месте. Советую посмотреть вот здесь: http://www.jetico.com/bc8_web_help/html/03_new_features/01_new_features.htm

Особенно на секцию New ways of encrypting data

Аватар пользователя Al
И сколько этот "продвинутый" пользователь проработает на фирме после таких "подвигов"? :))) Это для фанатов-одиночек, а не для корпоративной работы.
Аватар пользователя SR
http://www.jetico.com/bc8_web_help/html/03_new_features/01_new_features.htm

BestCrypt это замечательно. Но учитывая то что предыдущие его версии как бы это помягче сказать...имели backdoor, судя по всему... хм... может, TrueCrypt?

И почему именно этот модуль для миранды, а не скажем Secure IM ?

Аватар пользователя Эдуард
Интересно, и где же это в "больших корпорациях" админы дают пользователям полный доступ?
Аватар пользователя x403
2 Oleg:

Можно и BestCrypt. Просто PGP - продукт с мировым именем, имеющий хорошую репутацию.

2 Al:

Дело в том, что предпринятые меры не бросаются в глаза админам, если они не трогают этого чела. Если же начали трогать, то лучше уж пусть ударятся лбом об стену, чем обнаружат действительно компрометирующую информацию.

2 SR:

Можно и Secure IM. Просто я пользуюсь ACrypter. В этом вопросе ведь главное дать направление поиска, а дальше человек сам разберется.

2 Эдуард:

Такое бывает :)