Открыть список
Как стать автором
Обновить

Комментарии 10

Вообще лучше не применять. Единственный вариант использования — аттестация пары АРМ, тем кому это нужно. В корпоративной среде неприменимо и вызывает страшный геморрой у админов.
Если честно единственный 100% надежный способ это комп не включать. Все остальное можно обойти вопрос лишь во времени и желание.
Эти средства больше нацелены на минимизацию риска несоответствия требованиям нашего законодательства.
Как говорит статистика, более 70% утечек информации происходит за счет инсайдеров. Так что да, в каком-то смысле все эти СЗИ нацелены на создание проблем пользователю.

А насчет стопроцентной надежности — опять-таки, «что создано человеком можно человеком и сломать».
Выглядит как пачка проблем.

Кстати, лёгким движением руки эта хрень отключается покладанием соответствующего PCI-E линка (достаточно внести PID/VID устройства в забаненные и не давать биосу запускать чужой биос, у многих интеловских мамок это прямо в биос вынесено, а ещё есть EFI, где левые биосы не устанавливаются). Про обход защиты и говорить нечего — пара строчек в реестре и посторонний файл «перестаёт работать» (из-за повешенного на на него explorer.exe в качестве отладчика).
Что-то я вас не понимаю.

Самому приходится работать не с Dallas, но с очень похожей железкой (тоже ставится в PCI; грузится до ОС; контролирует все, что можно).

Если речь идет о том, что пользователь может обойти эту защиту изменив настройки биоса, то… зачем это пользователю? Если он имеет право работать за этим компьютером, то он и так сможет зайти, прислонив идентификатор к считывателю. Если наш сотрудник хочет включить компьютер, к которому не имеет доступа (например к компьютеру начальника), то:
1. Пароля от биоса у него нет.
2. Вытащить плату из PCI-слота можно только сорвав защитную пломбу, а это уже будет заметно.

Обход программной защиты путем внесения изменений в реестр? А кто обычного пользователя в реестр пустит? Он же не админ. Речь ведь идет о настроенных и относительно защищенных рабочих станциях. Пользователю (читай — сотруднику компании) будет затруднительно обойти все эти ограничения. Проще найти брешь в бюрократической составляющей и доказать начальству необходимость доступа к USB-портам или каким-то программам.

Ну а если речь идет о злоумышленнике со стороны, то, собственно, что он вообще делает на производстве? Будет ли у него достаточно времени, чтобы зайти в биос или совершать еще какие-либо манипуляции с компьютером?

У нас в организации и аппаратная, и программная защиты установлены на всех компьютерах. Проблемы возникают крайне редко и исключительно, если персональный идентификатор физически вышел из строя.
Судя по слову «реестр» вы имеете в виду windows и уютный мирок простых пользователей. Я говорил же про другое, что в общем случае от суперпользователя эта защита не спасёт.

Заметим, что описанную схему «windows и обычные пользователи» спокойно можно реализовать без аппаратной защиты — можно запретить вход локальным пользователям (включая администратора) и поставить ограничения по списку компьютеров для логина в профилях AD. И ровно так же пароль на биос защитит от загрузки с посторонних железок.
Суть этих железок не просто разграничение прав доступа, а:
1. реализация двухфакторной авторизации (Пользователь сначала прикладывает идентификатор, который пускает его только на этот компьютер. А потом вводит пароль от доменной учетной записи)
2. железка контролирует подключенное к компьютеру железо, вычисляет контрольную сумму биоса. Иными словами следит за тем, что компьютер каждый раз находится именно в том состоянии, в котором его отдали пользователю. Даже если пользователь воткнет другую мышь, комп перестанет грузится и потребует присутствия администратора. Это защищает от подключения аппаратных кей-логеров, от попыток загрузиться с флешки, от подключения личных телефонов/смартфонов/планшетов/фотиков

Железке неважно какая ОС установлена на компе. Железка грузится раньше. И она не заменяет собой авторизацию, реализованную в вашей ОС. Она ее дополняет.
У нас на предприятии стоит Dallas Lock с сервером безопасности, мне он нравится больше по SecretNet — у него достаточно понятное централизованное управление и возможность настройки гибких политик. Так же нравится тех поддержка — многие проблемы решают в тот же день, а если сложная проблема, то могут и приехать.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.