Witam serdecznie!

Poszukuję pomysłów na zabezpieczenie dysku twardego PATA przed sformatowaniem. Otóż chodzi o to aby jeżeli już ktoś dostanie się do biosu i odpali instalacje Windows XP (o tym systemie będziemy mówić) to aby dysk nie był wykrywany, albo też aby nie dał się sformatować (błąd w formatowaniu i tak dalej…).

Po co to? Zastosowanie to miało by mieć takie, np. w szkołach, w bibliotece gdzie uczeń lub ktoś inny (inna osoba z personelu) sformatowała by dysk, i postawiła od nowa system, na którym jest mnóstwo ustawień, dotyczących zabezpieczeń, programy filtrujące treśći w internecie i inne rzeczy. Zdarzyło się że ktoś z kadry po prostu sformatował dysk bo… “nie było dostępu aby zainstalować program” no ale zaraz zaraz, skoro do pracy dla pracowników są wyznaczone inne komputery…

Niestety nie interesuje mnie zabezpieczenie BIOSU, komputer można rozkręcić, a bios szybko zresetować, to nie jest dobre zabezpieczenie.

no nic, aby nie “bajdożyć” …

Ja osobiście wymyśliłem dwa sposoby (z czego jeden nie zbyt dotyczy windows xp). Zacznę może od drugiego, a mianowicie instalacja Linuxa lub innego systemu z “kosmosu” ale wydaje mi się że jednak to nie zda egzaminu bo instalator windows xp wykryje dysk jako nieznana partycja. I będzie można sformatować ją szybko i bez bólu, prawda?

Mój sposób to: Zakupić jakiś jak najbardziej egzotyczny kontroler IDE, do którego można wgrać BIOS, producent udostępnia bios, a my go modyfikujemy, tak aby podczas startu komputera wyświetlał coś w ogóle innego, ale wcale nie nazwę kontrolera a jakieś literki (wgrywałem już kiedyś “uzupełniany” bios do jednego z kontrolerów Smile i nawet działa do dziś). Następnie z kontrolera, zdrapujemy letko napisy, lub je zaklejamy, zamazujemy tak by były nie do odczytania,

Następnie robimy coś drastycznego, a mianowicie, niszczymy gniazdo do podłączania dysków, i napędów na płycie głównej (lub to co ja bym zrobił - wylutował je) . Jeżeli kontroler będzie na ATAPI, to będzie też obsługiwał napędy, bo gdybyśmy napęd podłączyli do płyty głównej to przecież ktoś mógłby podłączyć przewód sygnałowy do innego wolnego gniazda

Zalety:

* jeżeli w komputerze nie będzie stacji dyskietek to instalacja Windows XP będzie bardzo utrudniona (a dysk nie wykrywany, SUPER, o to nam chodziło), pozatym było by trudno znaleźć sterowniki, i nie każdy potrafi zainstalować system z takimi driverami, wadą jest że może zintegrować z płytką instalacyjną, ale tego raczej nikt by nie robił… raczej by sformatował dysk gdzieś indziej

* użytkownik nie znający instalacji systemu z kontrolerem, a potrafiący tylko przeinstalować system, jest zmuszony do wyjęcia dysku i sformatowania go w innym komputerze.

Wadą jest mniejszy transfer na kontrolerze, ale to nic, akurat w takim zastosowaniu komputera nie będzie potrzebna wysoka szybkość przepływu danych przez kontroler bo i tak to są starsze komputery (klasy P4, 1,8GHz Very Happy, 512MB ram)

Taka zasadzka chodź dużo przy niej roboty, jest dość ciekawa, ale i tak nie tak skuteczna jak bym chciał (co chyba jest nie możliwe).

Kiedyś słyszałem o zabezpieczeniach dysku poprzez kod, i w wypadku nie podania kodu po prostu nie dostaniemy się do dysku, tylko że… wtedy trzeba było by zrobić tak ażeby:

a.) kod był automatycznie wpisywany, (wprowadzony) przez BIOS komputera

b.) jeżeli dysk będzie przełożony do innego komputera to będzie bez użyteczny bo bez odblokowania go nie będzie można z niego korzystać

A co wy proponujecie? Nie interesują mnie porady typu "można łatwiej zrobić poprzez “pilnowanie” pracowników, i tak dalej, a po prostu zabezpieczenie przed jakimiś takimi operacjami na dysku w sposób dobry, i jak najsilniejszy, ale bez potrzeby podawania hasła podczas startu komputera.

Stary, po prostu mnie przerażasz. Równie dobrze możesz dziurawić opony w samochodzie aby zabezpieczyć je przed kradzieżą.

Na taką głupotę użytkownika, jaką opisałeś w przykładzie, NIC NIE PORADZISZ, w normalnej firmie za taki numer wyleciał by z roboty. Każdy pracownik w firmie musi mieć jasno określony zakres kompetencji, jak ktoś jest sekretarką czy nauczycielem to nie jest administratorem IT. Jeżeli ktoś tego nie rozumie to musi szukać nowej pracy, jedyny wyjątek to prezes/właściciel/dyrektor - on może robić co chce i jedyne co możesz w takiej sytuacji zrobić to uprzedzać przed ewentualnymi konsekwencjami.

Witam

Faktycznie podany sposób z kontrolerem jest dość skuteczny, choć dużo przy nim pracy i w zależności na ilu stacjach roboczych trzeba by było taką operację powtórzyć.

Moja propozycja jest taka aby wyjąć z kompa stacje dyskietek oraz napęd CD,DVD itp. tak aby nie było możliwości bootowania z płyty ani z dyskietki, a na samym systemie nadać ograniczenia na konto użytkownika na niemożliwość zrobienia formatu.

Ale oczywiście taka sytuacja może się sprawdzić tylko gdy nie jest wymagane uruchamianie oprogramowania za pomocą płyt itd.

Pozdr.

a nie prosciej ustawic boot z dysku i zalozyc haslo na bios? uzytkownik nie wejdzie do biosu, wiec nic nie zrobi a na system nie ma to wplywu zadnego + odpowiednie upawnienia dla profilu…

Można zrobić niestety to nie jest forum specjalistyczne. Na innym forum napisałem ten sam post i doszliśmy do rozwiązania

jakiego?

* zakup Recorvery Card (tutaj dla zainteresowanych: http://recoverycard.pl/index.php?url=home.php )

* instalacja kontrolera tak jak napisałem, + wylutowanie gniazd

* i uwaga najlepsze: zanitowanie obudowy! tanie i skuteczne: http://allegro.pl/show_item.php?item=1160891936

co nam to daje? Po pierwsze użytkownik nie dojdzie do wewnątrz obudowy, więc nie wyciągnie karty Recorvery. Karta ta daje mi nowe możliwości w konfiguracji i zabezpieczeniu komputera. Mało tego może za każdym uruchomieniem komputera przywracać domyślne (ustawione przezemnie) ustawienia biosu, więc nawet jeżeli ktoś by zgadł hasło do biosu, zmienił bootowanie na to z płyty, to i tak przed startem z płyty karta ta przywróci oryginalne ustawienia, w których to napęd CD/DVD w ogóle nie będzie bootowany.

Kolejnymi bardzo fajnymi funkcjami dla mnie jest przywrócenie bardzo szybko systemu z danej partycji.

Super zabezpieczenie

Niestety jak przedmówca pisał, to jest tak ale w firmach. W szkołach, jest tak że nauczyciel informatyki robi sobie z komputerami co chce,a potem wychodzą z tego tylko same złe rzeczy mimo to że on chce dobrze. Ale ni potrafi! w szkole brakuje prawdziwego informatyka. Jedynie ja sie znam na tyle ażeby właśnie komputer zabezpieczyć, przed “użyszkodnikiem” w taki sposób że nie możliwym będzie zmiana konfiguracji lub przeinstalowanie systemu.

– Dodane 23.07.2010 (Pt) 11:01 –

Akurat w komputerach tych nie można nic a nic praktycznie zrobić. Do tej pory było tak że aby jeden skrót na pulpicie do Internet Exploerera, którego nie można usunąć, i nic więcej sobie nikt nie mógł kliknąć, czy wejść, żadnych partycji nie widział, “mojego komputera” nic a nic. Było dobrze,Bez Active Descopt, bez tapet, w menu start tylko polecenie wyloguj (domyślnie komputer zaraz po starcie logował sie w tryb super ograniczony, a po wylogowaniu, ja sam logowałem się na użytkownika gdzie miałem pełne prawa do administracji komputerem), i zamknij system, no i internet explorer po raz drugi a teraz to jest dosłownie “rozpierducha” na maksa, jak wróciłem tutaj do pracy, to samowolka na każdym sprzęcie.

– Dodane 23.07.2010 (Pt) 11:03 –

clockwork

modrih

napisałem w 1 poście:

Niestety to nie jest dobre rozwiązanie. Istnieją pewne obejścia do haseł w Biosie, pozatym nauczyciel informatyki mógłby komputer rozkręcić i zrobić po swojemu, tylko po to aby ktoś mógł sobie zainstalować Excela na 2 dni, mimo to że obok jest pracownia przeznaczona dla uczniów i nauczycieli z pełnym oprogramowaniem i właśnie także przed tym polega ta obrona (aby nikt w bibliotece nie mógł nic z tym zrobić sprzętem, niech on się już sam zużyje…, aż padnie dopiero coś robić, lub wymieniać )

Na twoim miejscu bym to olał, niech psują - przynajmniej ty masz robotę.

EDIT

Ale jak już się upierasz to najprościej wylutować zworkę resetu BIOS, przylutować baterię (do jej styków), zabezpieczyć bios hasłem. Dodatkowo możesz u ślusarza zamówić stalową obejmę na obudowę zamykaną na kłódkę. Wyjdzie taniej, ale wierz mi przed pomysłowością niektórych artystów i tak się nie uchronisz.

A może nie mam czasu? Heh, pewnie to pisze uczeń. Ja sobie nie wyobrażam jak można to olać! Jeżeli to by było olane, komputery by padły, a tak mamy schludne eleganckie miejsce,

Gdybyś pracował w takim zakładzie pracy jak np. biblioteka czy kafejka internetowa, to czy pozwoliłbyś na takie coś

* użytkownik ściąga sobie nielegalne pliki z internetu, np. z Torrentów lub innych wymian plików (szybki internet stąd też zachęta dla niektórych…)

* ustawia na tapetę jakieś zdjęcia porno

* przeglądają pornografie, a w ogól kręcą się małe dzieci (przecież to biblioteka)

* grają w gry, oglądają jakieś durnoty i tak dalej

* komputer tak zapchany softem podczas odpalania że nie daje rady “wstanąc”

* niektórzy robią sobie żarty, i uszkadzają system (np. przeglądarkę i tak dalej).

* instalują GG, zapisują hasła, a potem jest afera żę ktoś pisał z czyjegoś numeru

Olałbyś to? Powodów jest więcej. Zakładając że jesteś odpowiedzialny za to miejsce, Ciebie nie ma pare dni, przychodzisz, i musisz wszystko zaczynać od nowa, a proces przywrócenia do ładu całego pomieszczenia trwa tydzień, też byś to olał? że w wolny czas musisz siedzieć i to naprawić? A jeżeli ktoś ściągnie coś nie legalnego i przyłapią że niby to było ściągane w instytucji publicznej, to kolego wylatujesz od razu! bo to Ty miałeś przypilnować porządek

– Dodane 23.07.2010 (Pt) 11:14 –

Dobry pomysł kolego, dobry z tym wlutowaniem zworki i baterii, o na to nie wpadłem. Można zakleić klejem nie przewodzącym prądu , mhm godne rozważenia.

Do niektórych biosów istnieją hasła uniwersalne, stąd też można by było je złamać.

Koszt mojej propozycji nie jest duży, porównywalny z obciachową obejmą na komputer hehe

– Dodane 23.07.2010 (Pt) 11:16 –

W sumie to cały harmider możemy ograniczyć do dwóch elementów (może trzech dla bezpieczeństwa)

* Karty Recorvery (mam źródło gdzie można je tanio kupić)

* Nitownica

* Klej

i to wystarczy

wydaje mi się że wspólnymi siłami doszliśmy do tego że te 3 elementy, są w stanie bardzo dobrze zabezpieczyć skrzynkę przed włamaniami z każdej strony.

Mam na myśli olanie prób zabezpieczenia przed skrajną głupotą, a nie olaniu normalnych obowiązków administratora.

ale co by zrobil po swojemu? podmienil kosci biosu? sam reset biosu nie resetuje hasla 8)

watpie, by komus chcialo sie lamac haslo w komputerze tego typu i zastosowania… szczegolnie, ze piszesz o miejscu publicznym - wyobrazasz sobie kogos pod stolem rozkrecajacego kompa w takim miejscu? ja jakos nie moge

a profil np. goscia z ograniczonym dostepem i prawami oraz odpowiednie filtry na przegladarke nie ‘daja’ rady instalacjom GG czy przegladaniu porno?

Rozumiem. Niestety są miejsca w których ludzie nie rozumieją tego “Proszę nie zmieniać nic w tych komputerach, to jest najlepsze rozwiązanie”.

Zamiast nitów śruba z nietypowym łbem na jakiś egzotyczny klucz. Ale to i tak na nic, większość BIOSów i tak można zresetować z poziomu Windows, kwestia tylko inwencji.

– Dodane 23.07.2010 (Pt) 11:23 –

Do tego wystarczy (a nawet należy) korzystać z normalnych mechanizmów systemowych.

Rok temu jak zakładałem hasło na BIOS to niestety po restarcie BIOSu hasło znikło… może to tylko taka wyjątkowa płyta główna, ale w starszych płytach wydaje mi się że raczej może się kasować wraz z kasowaniem ustawień biosu… z resztą sprawdze to w domu jeszcze, bo z tego raczej nie korzystałem.

Profil gościa… hm tutaj przygotowałem specjalny profil… niestety takie normalne zabawy z Windows, bez oprogramowania m.in Microsoftu do zarządzania komputerem oraz wpisów w rejestrze nic nie dadzą. Filtr na przeglądarke (ten tutaj co jest używany) daje rade na GG ale tylko na protokół a nie na instalator.

Ale prosze zobaczyć na jeszcze jedną zalete. Jeżeli było zrobione tak że użytkownik nie widzi nawet partycji, a ni nic. Nie możę zapisać pliku ani na pulpicie ani nigdzie, nie ma dostępu do Explorera Windows, to daje to daje to pewną specyficzną możliwość, a mianowicie: Nie muszę instalować antywirusa. a dzięki temu komputer pracuje o wiele lżej, jak sami wiecie. Jeżeli użytkownik nie ma jak przynieść pliku (ani mu nie działają pendrive, ani nie widzi dysku optycznego, ani nic…) to nawet z internetu nie ściągnie nic (brak możliwości zapisywania plików, i uruchamiania plików wykonywalnych innych niż te wskazane przez administratora). I to też jest zaletą. Zwykły profil nie dał by rady temu zadaniu. I tak można było by “sprowadzać” jakies pliki jak nie z internetu to z pendrive albo innymi ścieżkami , a tutaj nikt nic nigdzie nie zapisze. Więc komputer jest w miare bezpieczny i pracuje dobrze. Pół roku pracowały super, bez żadnego problemu. Potem miesiąc mnie nie było, przychodzę… i widzę windowsy XP, Idyle, jakieś aplikacje i w ogóle nie wiadomo co… to i tak dobrze bo są wakacje więc ruchu nie ma

– Dodane 23.07.2010 (Pt) 11:31 –

Pampali

Ale dlaczego wnikliwie nie czytasz tego co pisze! Nie zresetujesz z poziomu Windows, bo nikt nie otworzy ani nie przyniesie żadnego pliku wykonywalnego, rozumiesz?

Pomysł z wkrętami był dobry, ale… i tak niektóre wkręty, nawet sześcio czy ośmio kątne można zwykłym wkrętakiem płaskim o odpowiedniej szerokości odkręcić.

Mechanizmów systemowych powiadasz. To właśnie ja o to pytam, aby ktoś mi dał sposób na to aby nikt nie sformatował dysku Nie da się tak, bo ktoś wejdzie do biosu, jak nie tak to inaczej i poprzestawia.

A kolego zauważ co ja pisałem wcześniej o karcie Recorvery Card, karta ta przy starcie komputera przywraca ustawienia biosu jakie ja sobie ustawiłem, więc nawet jak by ktoś zresetował bios z windowsa (co jest nie możliwym bo żadnej aplikacji nie przyniesie ani nie odpali) to i tak i tak ustawienia wrócą (przed bootowaniem) do takich jakie ja chce

hmm, jak tak napisales o tych starszych plytach, to cos mi swita, ze wystarczylo podmienic baterie, bo to na niej bylo zapisane haslo biosu (nie tylko wyjac, ale wstawic nowa) 8)

a myslales o stacjach roboczych? jeden silny komp z systemem a reszcie nawet dyskow nie trzeba wtedy…

co do balaganu po powrocie - ktos chyba mial haslo admina i mogl wtedy zmienic uprawnienia profili lub recznie instalowac

Przed skrajną głupotą nie ma zabezpieczenia, bo np. próbujący się włamać do najlepiej zabezpieczonego komputera może go uszkodzić tak, że nie będzie do użytku, a naprawa będzie pracochłonna i kosztowna.

Może oprócz tych proponowanych wcześniej zabezpieczeń umieścić dodatkowo komputer w szafie pancernej, a na zewnątrz tylko klawiaturka bezprzewodowa? Tylko czy ta klawiatura będzie działała? No i ile kosztuje sejf?

Aha, do sejfu też się można włamać czy rozwalić go laską dynamitu.

Podmienić baterie? hehe bateria daje tylko prąd do zasilania układy timera na płycie głównej (zegarek) oraz podtrzymuje ustawienia BIOSu, ale haslo żeby było zapisane na baterii…? hehe nie, nie widziałem, nie słyszałem, ale chętnie sie tym zainteresuje, jak byś znalazł jakieś informacje na ten temat, to daj znać, albo tutaj wklej

Tak, tak myślałem, tylko zastanawia mnie jak by się to odbywało? Czyli że Boot z sieci? Zastanawia mnie ta idea, bez potrzeby instalacji dysków twardych, natomiast sama realizacja i jak by to działało to niezbyt wiem.

Rozumiałbym coś takiego:

1. Brak dysku w komputerze klienckim

2. Boot przez sieć, system bootuje i wybiera sobie “wolny komputer wirtualny” np. z VMware WorkStation (hm to za droga impreza, wersja server jest chyba darmowa?) który pracuje na serwerze (tym mocnym komputerze)

3. Pracujemy na kliencie ale tak jak byśmy pracowali na komputerze klienckim na np. (tylko przykładowo) VMware

taka idea?

dla mnie ma pewne wady bo nie wiem czy nie było by problemów np. jak ktoś włączył jakąś gre online, i ogólnie z obsługą flasha i płynnością, natomiast karty (zintegrowane) muszą obsługiwać PXE, a te z tego co widziałem tego nie obsługują.

Nie potrzebował hasła, bios był nie zabezpieczony (tak jak pisałem wyżej nie praktykowałem tego). Ustawiasz Boot seqence na first jako CDROM, “i jedziesz…” . Poformatowane i od nowa wszystko. A akurat z tymi komputerami nie ma wiele roboty, bo jak odpali się instalacje Windows, to po instalacji mamy gotowy komputer praktycznie, (mam namyśli że wszystkie sterowniki są od razu instalowane przez system).

– Dodane 23.07.2010 (Pt) 11:53 –

Hehe bardzo fajnie napisane Nie no szafa dużo kosztuje

Jeżeli znisczy to nie moja wina, lepiej niech zniszczy niż coś z nim zrobi :razz: zniszczenie mnie nie obchodzi akurat w tym wypadku i akurat to mogę olać Wtedy to naprawa hm, pracochłonna? zależy co kto zrobi, wymienić płytę główną 20 minut, a taka płyta to koszt 30zł /40zł 8) z resztą jak by ktoś zniszczył do takiego stopnia o którym piszesz, to nie byłby on już naprawiany tylko poszedł by jako “Dawca”

cos w tym stylu -> http://www.virtualfocus.pl/raporty/wirt … -computing 8)

Dzięki za informacje, temat ciekawy, ale bez sensu do zastosowania na 10 komputerów . Było dobrze, bez żadnych problemów. Nie opłacalne jest to po prostu. Z resztą trzeba by było kupić po pierwsze oprogramowanie, a po drugie jakiś serwer co by zdołał odpalić 10 systemów i z nimi pracować. Nie to za duży koszt. Tutaj koszt to ok. 20zł za każdą kartę Recorvery Card, oraz (to juz z wlasnej kieszeni) nitownik :shock: ewentualne jeszcze klej :razz: