felhasználó fájljainak priváttá tétele

Microsoft Windows

Sziasztok,

egy céges tartományban használt gépet akar a felhasználó hazavinni, otthoni célra használni, ezzel nincs is baj, viszont azt szeretné, hogy minden otthoni tevékenysége -böngészés is-, beleértve saját fájlok létrehozását, maradjon privát, azaz a céges rg se tudja megnézni mit böngészett, milyen fájlokat gyártott. Milyen megoldást ajánlotok?

Köszi!

  • 846 megtekintés

( willy v | 2020. 08. 28., p – 09:48 )

Saját számítógépet, mivel céges tulajdon magáncélra nem használható ha mégis, juttatásnak minősül, a cégnek tudni kellene róla hogy bevallja. 

( galore33 | 2020. 08. 28., p – 09:55 )

Szerkesztve: 2020. 08. 28., p – 09:57

Céges vezetőről van szó, aki otthon IS akarja a gépet használni és céges tartományban IS ( ezt elfelejtettem a kérdésbe beleírni (látom kellett volna)

Hát használja. Vagy inkább ne. Tudom, sok nagyembernek nem erőssége a kompromisszumkészség, ezért ha feszélyezve érzi magát, hogy a rendszergazda rábukkan a gépén a hómvideó gyűjteményére, inkább vegyen magának egy sajátot otthonra. Mert lehet játszani a jogosultságokkal, de előbb-utóbb a rendszergazda kezébe fog kerülni a laptopja és azért vannak olyan jelek, amik egy élesebb szemű szakembernek szemet szúrnak. Aztán pont emiatt elkezd keresgélni. Vagy ne adj isten pont az e miatt az igény miatti jogosultság-barmolás vezet ehhez.

Szerintem ne keressen rövidebb utat, vegyen egy gépet magának, mindenki nyugodtabban alszik.

(Jártam hasonló cipőben, mindenki számára kellemetlen vége lett.)

Én is dolgoztam olyan helyen, ahol el lehetett kérni a cégautót. Igen, kellett vezetni az útnyilvántartást. Azt mondták, ha megállít a rendőr és nincs benne az útnyilvántartásban az éppen aktuális út, bünti lesz. Tehát amikor elkértem az autót, vezettem a nyilvántartást. Nem állítottak meg egyébként.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Biztos így van, nem ismerem részletesen a terminológiát.

Ebben az esetben viszont nem tudom, hogy mi volt a gond Caro hozzászólásával.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hát ez a baj. A cégautó adót azért vetik ki, mert biztos hogy fogod használni magáncélra is. Ez az adó célja, hogy az autódat ne a cég nevén tartsd. Ha akarsz rajta áfát is visszaigényelni (javítás, egyebek után nem az üzemanyag után) akkor útnyilvántartást kell vezetned róla (mégis).

Azaz az a baj a hozzászólással, hogy hozott egy példát ahol eleve bekalkulálják a magánhasználatot, és adóval tartanak tőle vissza) Annak alátámasztására, hogy bezzeg az autót is el lehet kérni.  

Tök mindegy 5 dolog szól ellene (a magánhasználat vonzata amit itt most kitárgyaltunk 1 belőle) , hogy ilyet tegyél, de látom próbáljátok aktívan a "nem értjük, nem így láttuk" figurát felvenni.

Ne haragudj, akkor pontosan mi volt a gond Caro hozzászólásával?

Miért lett volna okosabb nem leírni? Miért gond, hogy leírta?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Céges informatikai eszközt magáncélra a cég döntése alapján használunk vagy nem használunk, ami egyaránt figyelembe veszi a céges és a személyes adatok biztonságát (szabályozás, kialakított környezet). Gyakoribb a csak céges használatot engedélyező szabályozás (COBO: Corporate-Owned, Business-Only), de a személyes használatot engedélyező (COPE: Corporate-Owned, Personally-Enabled) sem az ördögtől való. Viszont ha a személyes használat csak most merült fel, akkor lehet hogy annak a feltételeit leszabályozni is most kell...
--
Légy derűs, tégy mindent örömmel

Lehetséges megoldás: venni a főnöknek otthonra is egy PC-t, ami bár cégtulajdon, de a céges hálózaton kívülre kerül. Járulékos előny, hogy ennél a férgesedés meg minden nem veszélyezteti  a céges dolgokat.
További előny: gyereke is használhatja a cég veszélyeztetése nélkül.

Mennyire nagy vezeto?

Nalunk osztalyvezetotol felfele nagy divat az iPad pro. Levelezesen es prezentacio gyartason kivul sok dologra nem hasznaljak arra viszont tokeletes es nem kell cipelni a baszom laptopot. Jira szarcsikba belepkedni meg kattintgatni ugyis bongeszobol kell.

( KoGa v | 2020. 08. 28., p – 10:14 )

Saját gép +1.

Olyan nincs hogy a céges rendszergazda nem fér hozzá a céges eszközön lévő adatokhoz. (Most sarkítok, van az a környezet, nyilván technikailag megoldható, de indokolatlanul sok macera.)

( locsemege v | 2020. 08. 28., p – 10:41 )

Saját gép. Másik lehetőség pendrive-on egy live Linux, a céges gépet boot-olja fel arról, aztán böngésszen, így nem lesz nyoma a háttértáron ennek.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( KGer | 2020. 08. 28., p – 10:50 )

esetleg egy titkosított loopback file mount-olva drive-ként, rajta egy magán chrome profile-al, videókkal, képekkel, stb

( tornai | 2020. 08. 28., p – 11:08 )

Mibe kerül egy saját gép manapság, főleg egy főmanagernek. Cserébe még hurcolásznia se kell, így a töltő sem marad otthon/irodában.

Már magán a kérdésen ha elszöszöl ő maga 1 órát meg egy-két beosztottja még 1-2 órát többe fáj, mint egy netezős notebook... 

( Nyosigomboc v | 2020. 08. 28., p – 11:22 )

Dual boot nem lenne jo neki? (esetleg titkositott particiokkal, nemtom Win hogy all vele) Ugy jobban elkulonul a ket felhasznalasi mod.

A strange game. The only winning move is not to play. How about a nice game of chess?

( galore33 | 2020. 08. 28., p – 11:40 )

Szerkesztve: 2020. 08. 28., p – 11:41

Köszi!

Azért az,hogy most úgy néz ki jön a 2ik hullám (akarat és igény megvan rá) és vele együtt a HomeOffice,nem annyira elrugaszkodott dolog,h hamár 1x otthon van,bizony nemcsak dolgozik rajt.Tudom,tudom,céges gép,de nem életszerű.(főleg egy vezetőnek nem magyarázom meg,h ne azon böngésszen maszekot...)

Akkor VeraCrypt felé nézek körül.

( dejo v | 2020. 08. 28., p – 11:40 )

Szerkesztve: 2020. 08. 28., p – 11:41

Méltányolható igény, hogy a céges rendszergazda ne férjen hozzá, főleg ne lássa, de ha eltűnik egy adat akkor varázsolja elő! Mi az, hogy nem mentette azt a gépet ami nincs is a céges hálózatban?!

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( Tassadar v | 2020. 08. 28., p – 11:52 )

Szerkesztve: 2020. 08. 28., p – 11:58

Kapjon AD-ben egy nagyon minimális jogokkal rendelkező otthoni user-t (szeparált OU, semmilyen céges jogosultság - de minden security előírás vonatkozik rá), aminek a profilja EFS-el van titkosítva, a kulcs pedig nála van. 

De még így is jelentős biztonsági kockázat és ő sem lesz tőletek teljesen szeparálva. 

( janoszen v | 2020. 08. 28., p – 12:40 )

Szerkesztve: 2020. 08. 28., p – 12:41

Ha  user boldog O365-el, akkor megteheted azt, hogy a gepet nem manageled, hanem csak az O365 kornyezetet. (Igy lehet pl. Wordbe, Teamsbe, stb bejelentkezni corporate userrel.) Ez nyilvan semmilyen szinten nem bombabiztos megoldas, de oszinten, mi bombabiztos.

Egyebkent jogilag is meg lehet ezt oldani. Megallapodik a ceggel arrol hogy mely reszek privatak, es akkor ahhoz a rendszergazda jogilag nem nyul hozza kulonben ki lesz rugva + per lesz belole.

Ebből mennyi idő alatt lesz az, hogy egyik fél állítja, hogy "nem nyúlt hozzá", a másik meg azt állítja, hogy "de"? Ez a szitu szerintem kb egyféleképpen "biztosítható". Külön eszköz a pornhubra és külön a managerek egymás közti gombfocira. Így mindkét fél védve van a másiktól. És ez azért fontos. A IT-0 topmanagernek is meg lehet mondani, hogy pont azért alkalmazza az IT-t, mert ők értenek hozzá. IQ-0 kell, hogy ezt ne fogja fel. Persze... ilyenről is hallottam már.

xterm

( zwei | 2020. 08. 28., p – 12:50 )

két, ssd + dual boot, privát windows encryptelt ssd-n.

( gee v | 2020. 08. 28., p – 17:19 )

Az nem megy, hogy készít egy második felhasználót a rendszergazda a főnökúrnak, és megmondják neki, hogy használjon inkognitó módot, mentsen mindent a saját magán felhőjébe (mindegy, hogy melyik cég adja a felhős tárhelyet), aztán ha befejezte a házipornó szerkesztését, akkor az összes helyi fájlt törölje le?

Nem tudom, mennyire megoldható itt, más célból (több ember egy Windows felhasználóval böngészett egy bizonyos számítógépen) egy másik helyen az volt, hogy a felhasználó létrehozása után snapshot készült az üres könyvtárakról, és amikor az adott felhasználó kijelentkezett, akkor egy script letörölte a könyvtárait és a mentésből visszaállította az üres állapotot.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( galore33 | 2020. 08. 28., p – 22:28 )

Köszönöm szépen mindenkinek a hozzaszolast! 

( bazso | 2020. 08. 29., szo – 00:36 )

Egy ember kedvéért ágyúval verébre, és inkább csak technikai érdekesség, de pár éve volt szerencsém játszani a Citrix XenClient nevű cuccal, pont erre volt jó. A lokális notebook-on egy vékony virtualizáció fut maximum 4 géppel, hardver gyorsítással, titkosítással stb. Ezen lehet központi menedzsment alatt lévő gép és magán is, szépen elválasztja, külön van titkosítva, és a két futó gép közt menet közben könnyű váltani.

Sajnos a kis kiszerelés megszűnt a cég kínálatában, az enterprise meg iszonyú drága, olcsóbb a 2 külön fizikai gép.

Igen, de ott a külső oprendszer azért hozzá tud férni a virtualizálthoz, ami a fenti kérés miatt sem cég→magán sem fordított irányban nem szerencsés.

Bár azért ezek már olyan technikák, amire a pentest képes szakik közt sem a junior képes, így ez már a vállalható kockázat hacsak nem full illegális dolgot csinál a magán gépen és így van annak esélye hogy szakértő kezébe kerül.

( GerzSonka | 2020. 08. 29., szo – 10:02 )

Az én főnököm külső merevlemezről bootol külön oprendszert, amikor otthon van, és arra is menti az otthoni dolgait, így semmi módon nem interferál a céges környezettel.

"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

( misztaCOH | 2020. 08. 29., szo – 10:30 )

  • Virtualbox otthoni || céges környezet virtualizálva.
  • RDS céges környezethez
  • Sarokba PC RDP-vel céges környezet

( robavad | 2020. 08. 30., v – 11:45 )

VeraCrypt vagy Bitlocker; szerintem a legjobb, ha külső eszközt Bitlocker-el letitkosít, majd tesz rá egy ilyet: https://portableapps.com/ vagy külön telepít portable programokat, böngészőket. Így a főnök bárhol használhatja ugyanazt az eszközt a privát dolgaihoz, viszonylag "biztonságosan". Az Office-t viszont nem tudom. Vagy használ portable office-t vagy figyel arra, hogy a céges gépen az office ne küldözgessen semmit a felhőbe, ami a sajátja. + Hogy megy ki a céges gép a netre? VPN-en át, a cég tűzfalán keresztül? (Ehhez a részhez nem értek.) Mert akkor csak is egy külön rendszer jöhet szóba.

Egyetértek. Ha nem tud emberünk saját gépet venni, és mindenképp cégest akar hazavinni magánhasználatra, akkor újratelepíteni a Windowst, amit már be sem léptetnek a tartományba és VeraCrypt vagy Bitlocker vagy ATA jelszavas hardveres titkosításos rendszerlemezre húznak fel, aztán ennyi. Ha VPN is kell, akkor ahhoz adnak neki valami külön jelszavas hozzáférést.

Bár szerintem is inkább vegyen saját gépet a szóban forgó emberke. Nem hinném, hogy annyira szegény munkavállalóról van szó, aki mondjuk egy átlag felhasználásra, böngészésre, Wordözésre ne tudna egy olcsó, új Ryzen vagy egy régi Core i gépet vagy laptopot venni használtan, jelképes pénzért. Ma már nem drága a hardver, aki nem idióta, tud jó áron még évekig használható gépet beszerezni, nem kell már rá feltétlen 200-300k forintokat kiadni, ahogy régen kellett, mondjuk 10-20 évvel ezelőtt.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( gyuri23 | 2020. 09. 01., k – 06:28 )

Szerkesztve: 2020. 09. 01., k – 06:29

Hát elég "érdekes" kérés. Biztonságilag (is) felvet pár problémát, pl a vírusvédelem mit kezdjen a privát dolgaival. Szvsz ez így gyakorlatilag megvalósíthatatlan. Nekem van pár cégem ahol ilyen igény felmerült, ott az lett a vége, a főnök kapott egy virtuális (vagy igazi) gépet az irodában, esetleg terminal szerver (RDS) ha több ember is akarja így használni, amit aztán RDP-n használ. A saját gépén azt csinál amit akar, nem tartomány tag, ha meg melózik távoli asztal a "benti" gépére. Fájlokat tud  másolni a kettő között és nyomtatni is tud. RDP-n tud egyszerre "lenni" mindkét gépen, ezt a kompromisszumot általában elfogadják.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.