Printable View
Jak je z nazvu patrno, zajimalo by mne, zda ma nekdo zkusenosti s kryptovanim systemoveho oddilu windows.
Predstava je asi takova, ze jeste pred startem systemu se neco zepta na heslo a bez jeho znalosti bude na disku videt maximalne chaos. Zajimaji me jak pripadna SW reseni, tak HW reseni za rozumne penize.
nejlevnejsi reseni je nastavit si heslo primo na disku :)
s patricnym vybavenim se k nemu da dostat, ale s patricnym vybavenim se da i rozfirovat cryptla partisna ....
Vim ze je to trochu mimo, ale me by se hodilo, kdyby implementovali pouziti ctecky otisku prstu pro vstup do biosu a dale aby to chtelo otisk po postu. Plus zabezpeceni hdd rovnez.
Edit: Odpoved pro Fox!Murdera Ted sem mel Acera 800x a IBM T21 ty to neumely - asi protoze nemely ctecku :P. Nyni mam D630 (mam ho chvilicku, caso malo)a jeste sem se celym biosem neprokousal, jeho moznosti nastaveni sou skutecne impozantni, zasl sem, co vse umi bios na notebooku nastavit. Zatim mam pouzitou ctecku jen pro lognuti do systemu.
[ot]porid si notebook, ten tohle vsechno umi :) [/ot]Citace:
Původně odeslal Arg
Dobry zabezpeceni HDD heslem ma HP u ntb - je tam jak user tak admin psw, napr Dell ma jenom jedno.
Ad dotaz. v praci jsme pouzivali soft SafeGuard (posledni verzi sme meli tusim 4.neco). To zasifrovalo komplet disk zvolenym sifrovanim (40GB cca 2h) a do bootsektoru si to nacpalo vlastni kus SW. Vysledek je ze pri zapnuti ntb to pred zacatkem bootovani woken chce heslo. Pri pripojeni do jinyho PC je to necitelny. Ma to i recovery moznosti pri zapomenuti hesla pres admin utilitku. Bohuzel se mi nepodarilo pri padu systemu disk rozchodit na servisnim PC i se znalosti admin hesla :) Cena byla tusim 6-8k za licenci. Jedna z ficur co to ma je ze podle prihlasenyho uzivatele pri bootu je to schopny nalogovat prislusnyho uzivatele do woken.
Hele Foxi a jak to heslo na disk nastavim ? Jinak me napada jeste jedna varianta, jen nevim jestli neco takovyho jde. Ciste teoreticky, by mohl heslo pro pristup k disku chtit grub, nasledne ho nejak dekryptovat a pustit win ???
Grub password vie, ale aj to vies obist s liveCD a chroot... http://www.gnu.org/software/grub/man.../Security.html
EDIT: Dokonca vies urcit, co sa bude dat spustat bez hesla a co len s nim...
A neni to nahodou jen zabezpeceni heslem pro spusteni, pripadne editaci boot sekvence?Citace:
Původně odeslal lcdc
mno, umej to biosy nekterejch notebooku... na desktopech jsem to zatim moc nevidel ... ale mozna by to slo i nejakou utilitkou ... funguje to vpodstate tak, ze disku se pomoci nejakyho prikazu pri bootu posle heslo a bez toho hesla proste disk odmita vydat jakykoliv data. po trech nepovedenejch pokusech o zadani hesla se musi disk fyzicky vypnout (tj. vypnout napajeni) a znova zapnout ... jediny reseni je mit modnutej firmware do disku - coz je pro 99.9% smrtelniku nedosazitelna zalezitost ...Citace:
Původně odeslal Jezevec
btw. http://www.truecrypt.org/future.php
Vlastne mas pravdu, toto data nezakryptuje, takze mozete zmazat...Citace:
Původně odeslal admix
Tak nevim jestli to zapada do kategorie "za rozumne penize", ale na microsofti platforme je docela funkcni BitLocker ve Viste.Citace:
Původně odeslal Jezevec
na systemovou partition ?Citace:
Původně odeslal HollyG
EFS nestaci?
jj prave ze je to primarne urceny pro systemovou partition (GUI pro dalsi disky to ma az v SP1), funguje to tak, ze vytvori dalsi partition kam nahraje jen bootovaci soubory+prave bitlocker pro rozsifrovani dalsich.Citace:
Původně odeslal Fox!MURDER
Heslo se dava bud rovnou z TPM, flasky nebo rucne.
No ale to bohuzel zase umi jen systemovou partition pokud se nepletu. Ale nekde jsem myslim cetl, ze se to zmeni s SP1.
Umi to cokoli, ale musi se to delat pres prikazovou radku...Citace:
Původně odeslal Masster
Jop, tohle samo znam, napr ntb IBM tohle umi (alternativne otisk prstu, coz je IMO z hlediska bezpecnosti daleko horsi nez heslo, protoze otisk muze ziskat kdekdo i bez toho, aby ho ze me musel pacit).Citace:
Původně odeslal Fox!MURDER
Zajimaly me spis reseni pro HW, ktery v defaultu nic takoveho neumi. Pripadne nejaky radice, ktery za rozumny peniz tuto funkcnost pridaji. V pripade tech radicu v optimalnim pripade s tim, ze se disk da primountovat i pomoci SW, jelikoz sehnat po 2+ letech totozny radic abych z disku vypacil data ...
2HollyG: Obavam se, ze Vista jako takova jeste nejaky patek bude alespon u me hodne mimo misu, navic jakykoli reseni od M$ povazuju defaultne za nepouzitelne nebezpecny.
Mno blby je, ze jak jsem to pochopil, kdyz jsem hledal cestu, jak se toho zbavit, to umi kazdej ATA disk. Jen ta podpora biosu vetsinou chybi :( bohuzel ... ale jak rikam, treba by to slo nejak hacknout :DCitace:
Původně odeslal Jezevec
btw. jestli mas disk, kterej chces obetovat vede, muzes zkusit aplikacku zde http://www.rockbox.org/lock.html a nasledne to nabootovat ... treba bios umi, jen nema polozku (docela mi to prijde pravdepodobny )
nejaka teorie okolo + mozne zneuziti tohohle mechanismu ... http://www.heise.de/ct/english/05/08/172/
Ad otisk prstu ... ziskat ho imo neni tak jednoduchy, protoze lepsi ctecky nezkoumaji jen kresbu prstu, ale nejaky dalsi vlastnosti -> prst musi bejt zivej :)
Presne tak, snad kazda novejsi ctecka zkouma nejen "vzorek", ale i "fyzikalni vlastnosti", takze (udajne) spolehlive pozna i treba uriznutej prst ( ;D )
Kód:# hdparm --security-help
ATA Security Commands:
Most of these are VERY DANGEROUS and can KILL your drive!
Due to bugs in most Linux kernels, use of these commands may even
trigger kernel segfaults or worse. EXPERIMENT AT YOUR OWN RISK!
--security-freeze Freeze security settings until reset.
--security-set-pass PASSWD Lock drive, using password PASSWD:
Use 'NULL' to set empty password.
Drive gets locked if user-passwd is selected.
--security-unlock PASSWD Unlock drive.
--security-disable PASSWD Disable drive locking.
--security-erase PASSWD Erase a (locked) drive.
--security-erase-enhanced PASSWD Enhanced-erase a (locked) drive.
The above four commands may optionally be preceeded by these options:
--security-mode LEVEL Use LEVEL to select security level:
h high security (default).
m maximum security.
--user-master WHICH Use WHICH to choose password type:
u user-password.
m master-password (default).
Abych tento thread uspesne uzavrel:
Od verze 5 umi truecrypt kryptovat i systemovy oddil win. Jen je treba pocitat s tim, ze se nesnese s grubem a spol v MBR.