Здравствуйте. Если вас начинает посещать чувство дежавю - это не спроста, я уже задавал этот
вопрос, однако я не сидел на месте и искал варианты, и даже нашел, но все равно есть несколько но...
Если вкратце, суть прошлого вопроса в следующем, есть компьютер, он постоянно включен. Доступа к нему нет (он находится далеко), за ним чисто теоретически могут прийти и скопировать коммерческую информацию. Цель - защититься он данного типа атак. Компьютер это обычный ПК на Windows 10, настроен автовход, без дополнительного оборудования, дешифрование должно происходить автоматически, даже при перезагрузках и прочих условиях (например пропал свет, в bios стоит power on, свет появился, ПК пошел на старт).
В прошлой теме по сути был дан ответ - BitLocker Network Unlock, однако он подходит только для серверной ОС и, судя по тому что я понял, работает с доменом по локальной сети. Вариант не подходит т.к. мой ПК - одиночный.
Ответ был по сути на поверхности, в windows существует стандартное шифрование (EFS) (правой кнопкой по папке-свойства-атрибуты-другие-шифровать содержимое для защиты данных), при этом на ПК создается сертификат с которым возможно расшифровать данные файлы на лету, если же, например подключить данный винчестер к другому ПК и скопировать файлы - они будут зашифрованы (а так же если скопировать их на флешку даже при включенной ОС, они в зашифрованном виде скопируются). Однако при всех прелестях есть очевидные НО:
1. Ничего не мешает тем же путем что файл шифруется - расшифровать его, просто убрав "галочку" в настройках. Существует ли варианты при таком взаимодействии требовать пароль администратора? (не UAC, а именно пароль)
2. Существует ли возможность защитись сертификат от импорта? Опять же требовать пароль администратор или сертификата.
3. При данном типи шифрования возможно ли зашифровать имена файлов? На данный момент это выглядит как "file.doc.[расширение EFS]" (я пробовал искать подобные пункты в политиках безопастности - безрезультатно)
4. Возможно ли вообще загружать Windows но при этом показывать форму авторизации? Т.е. происходит старт ОС, выполняется автозагрузка, запускается нужный софт (например веб сервер), но для наблюдателя все что видно - форма авторизации, после ввода пароля - можно работать с Windows (реализация данного направления самая интересная, т.к. автоматически защищает от 1 и 2 пункта). Все что я нашел - это добавить в автозагрузку, или сценарий к профилю, или добавить в планировщик заданий сценарий - при входе выполнять "user32.dll, LockWorkStation". Но этот вариант просто смешной, ведь можно банально зайти в безопасном режиме и всё это не будет выполнено. Да и без этого пункта по сути все бессмысленно, т.к. в полностью расшифрованной Windows не составить труда прочитать все файлы, даже без копирования, если же этот пункт реализовать и даже, к примеру, сбросить пароль администратора сторонним софтом - файлы не расшифруются.
В общем жду ваших мыслей, может я что-то упустил?
Средний
Средний
