Sziasztok!
A következő feladatot kaptam, amihez szívesen fogadok megvalósítási ötleteket.
- Meg kell akadályoznom, hogy a Windowsos laptopot használó felhasználó gépen tárolt adatatokat lopás/elvesztés esetén más is érhesse el.
Erre egy titkosított merevlemez elegendő is lenne.
- Meg kell akadályoznom/tudnom kell róla, hogy a felhasználó a gépéről milyen fájlokat másolt ki és hova, illetve felügyelet alatt kell tartanom, hogy mely I/O eszközöket használhatja.
Erre az eagleeyeos jónak is tűnik.
- Most jön az érdekesebb. Amennyiben egy adott ideig nem jelentkezik a felhasználó, akkor a gép automatikusan zárolja magát, és csak a központban, vagy pl. telefonon megadott jelszóval lehessen életre kelteni. Itt a zárolás az elsődleges cél.
Ehhez gondolom egy kliens program kellene, ami kapcsolódna egy szerverhez és ha nem sikerül X ideig, akkor lezárja a gépet.
update: A feladat esszenciája, hogy ha nem tudjuk mi van a géppel (elveszett, a felhasználója sem jelentkezik - nincs életjel, stb), akkor minden körülményt figyelembe véve az adatok biztonságban legyenek, akár helyi adatvesztés árán is (backup van a központban).
Vázlatos elképzelések, minden ötletet örömmel fogadok. Köszönöm!
Hozzászólások
Érdekes a feladat, de lopás esetén az első dolog a teljes gyalu, így minden okosságnak annyi. Vagyis a 3. részre már semmi szükség, főleg, hogy az 1. pont megvédi (elméletileg) az adatokat.
--
Coding for fun. ;)
honnan tudja a gép h el lett lopva? :-)
eleve a jelszókérésnél kéne ellenőrizni, h az előző jelszókérés (/valid login) mikor történt. ha túl régen, akkor jelszó ad egy OTP-t amit csak máshonnan lehet "feloldani"
A lopás ellen a titkosított hdd szolgál, a gép nem is tudna bootolni a jelszó nélkül.
A feladat esszenciája, hogy ha nem tudjuk mi van a géppel (elveszett, a felhasználója sem jelentkezik - nincs életjel, stb), akkor minden körülményt figyelembe véve az adatok biztonságban legyenek, akár helyi adatvesztés árán is (backup van a központban).
Privi?
--
Coding for fun. ;)
Ha megvolt a teljes gyalu az jó, az adatok nem kerültek idegen kézre.
A 3. rész, vagyis ha nem jelentkezik, az a legális használat, de a felhasználó ugymond nem tünhet el a laptoppal egy hétre és majd lementi az adatokat. Gyakorlatilag a táppénzre mentem, nem tudom mikor tudom visszaadni a laptopot ellen védene.
Ha a nem jelentkezik alatt azt érted, hogy nem jelentkezik be a gépre, akkor ez egy elég nehéz ügy.
Ha a felhasználó tud dologról, akkor ez könnyen megkerülhető.
Ha van BIOS mesterjelszó, akkor átállítja az órát egy korábbi időpontra. Ha nem ismert a jelszó, akkor szétszedi a gépet, törli a CMOS tartalmát. Összeszerelés után belép a BIOS-ba, és átállítja az órát.
Ha a szerverre való bejelentkezésre gondoltál, akkor persze ez nem működik.
-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...
Ez esetben mondjuk figyelem a rendszer leállítását és következő indításkor csak akkor hagyom elindulni a rendszert, ha az indítási időpont a leállítási után van.
Esetleg óránként x bejelentkezésnél többet nem engedélyezek vagy túl sok egymáshoz közeli bejelentkezés esetén tiltok.
Nem tudom, milyen programmal. :)
Kikapcsolom ma 13.00-kor. Bekapcsolom egy hét múlva, de előtte az órát visszaállítom 29-én 08.30-ra.
-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...
Ez rendben van, de mást nem nagyon lehet ellenőrizni szerintem...
...ill. merevlemez üzemidőt talán, esetleg egy "hardver kulcsot", ami nélkül nem indul a gép és ellenőrzi a dátumot rajta keresztül. :)
Szerintem egy közönséges hordozható vékony kliens a megoldás. Azzal, hogy csak a neten keresztül érhet el a felhasználó mindent, és az adatok csak központilag tárolt szerveren lennének (egy helyen), azzal totális felügyelet alá vonható. A másik, léteznek inputbox nélküli screenlockok, és ha ezt megfejeled változó jelszóval, már helyben is vagy. Mivel a vékonykliensek nem rendelkeznek ált. merevlemezzel (vagy csak egészen minimálissal, hogy az OS futásképes legyen), hűtőventillátorral, floppy és CD drive nélkül - teljesen más az élet. Viheti ahová akarja. De az adatmozgásaid akkor is csak egy ponton kell figyelni. Notebook, nagyon szép és jó, de nem komoly kockázatú környezetbe. Ha befektetésre kerül a sor érdemes megfontolni pl. egy hasonló cucc vásárlását mint pl. a HP 4410t is. Gyakorlatilag táppénzre mentem, majd jövök kizárva. Mivel akkor te is kizárhatod, akármikor. Szerintem.
A vmware view desktop virtualizációs rendszernek van ilyen funkciója. Először is a user desktopját virtualizálva view környezetben kell futtatni.
Az offline desktop funkció lehetővé teszi, hogy notebookos ember igény esetén, elvihesse magával a virtuális desktopot. A másolást a view kliens végzi automatikusan és titkosítva kerül ki a virtuális gép a laptopra.
A laptopon alap oprendszer és view kliens van csak, a lényeg a virtuális gépben.
Beállítható, hogy a kimásolt virtuális image ha x napig nem jelentkezik be akkor többet el sem indítható. Ha ezen intervallumon belül bejelentkezik akkor a kliens szinkronizál a központban maradó másolattal. Ergo a bakcup is megoldott.
Ultimaco a Te baratod.