Защита от записи переносных винчестеров
 

Доброго времени суток, уважаемые пользователи форума!:)

Хотелось бы проконсультироваться по поиску необычного накопителя.

1. Нужен переносной накопитель, обьемом от 40 гб, с возможностью чтения с него данных.
2. Данные должны спокойно считываться, НО записываться только с разрешения хозяина носителя, т.е. доступ к записи не должен осуществляться как обычно, а чере спец программу, либо под паролем.

Цель.
Имеются 400 клиентов по Республики, которых обслуживает наша организация, в основном бюджетники и не все имеют возможность приобрести маломальски нормальный антивирус. Если и ставят, то с доступом интернета у них тоже туго, а чаще его просто нет:) Результат - каждый клиент - щедрый раздатчик вредоносного кода.
Необходимо приходить к клиенту, подключать носитель через USB, копировать с него информацию, НО не чего не записывать.

Вроде более-менее расписал тему. С удовольствием отвечу на уточняющие вопросы:)
Заранее всем благодарен:)

есть вариант - отформатировать в NTFS и запретить всем пользователям запись.

Интересная мысль, но записывать файлы нам нужно будет туда.
Возможно не так понял вас, опишите пожалуйста этот метод, и есть ли возможность записи\замены файлов? И возможна несовместимость с Windows 98?

DruOleg, а флешки с защитой от записи? Смотрим тут (правда, товарный вид теряется и надо уметь паять, но в сервис-центре, я думаю, можно договориться :) )
Можно поискать такую или такой ридер и к нему одну Secure Digital на 8 гигов, например (там на самой флеш-карте переключатель стандаротный есть). Из плюсов второго метода- можно пихать в фотоаппарат, телефон, и так далее (типа бонуса :) )

dmitryst, Интересное предложение:) Но они по объему пока маловаты, да и за такие деньги (Transcend <TS16GSDHC6-S5W> SecureDigital High Capacity (SDHC) Memory Card 16Gb Class6 + USB SDHC/MMC Reader 92 88 85) можно пару винчестеров переносных взять:)
Может есть какие то адаптеры, через которые можно их подключать и блокировать доступ к записи, а без них все хорошо записываться будет?

DruOleg,
HDD по определению не может быть с защитой от записи. Такого свойство этого устройства и его файловой системы. Система должна делать отметки о времени доступа к файлам. NTFS ведет различные журналы, в часности транзикций. Поэтому либо устройство должно эмулировать запись, но реально не писать (прокатывает на FAT, в NTFS повиснет) или прикидываться не HDD, а например СD-ROM, MO, ZIP или флопиком, где режим только-чтения допустим.
Потому для HDD используются специализированные контроллеры, для экспертных систем например, чтоб не потерять улики при криминальном анализе. Но они очень дорогие.

Из известных только одна USB коробка имеет защиту от записи. Как уж они это дело обошли не расcказывают. Но вот человек говорит что работает.
http://forum.ixbt.com/topic.cgi?id=11:37824

Как альтернативный вариант - используете любой внешний винчестер для клиентов, и постоянно выковыриваете оттуда разную заразу, или же тупо затираете винт каждый раз перед записью новой порции информации. Всего-то и делов.

Tomset, спасибо за помощь. Но чего то мутноватый человечек, не думаю, что чтото дельное выйдет.
DVDshnik, это совсем не сложно:) Но дело в том, что винчестер за одну поездку в район пройдет по нескольким клиентам, и как это не печально, машины многих клиентов ввиду своей незащищенности с радостью примут всю заразу с предыдущего ПК:( С этой целью и ищется вариант винчестер-DVD-R, записал когда надо, скопировал клиенту, затер все и снова записал.
ackerman2007, писал про форматирование в NTFS. Хотел узнать как это все делается, действительно ли при таком форматировании запись на него будет запрещена, и можно ли будет потом путем форматирования его записать на него новую информацию?

DruOleg,
Защита через права в NTFS не панацея, последние руткиты работают на уровне ядра и им на все права наплевать.
Делайте СD загрузочный WinPE/LiveCD? это наиболее безапасно. Проверили комп, убили заразу, потом подключите USB-HDD.

DruOleg, может, тогда взять-таки DVD+R, внешний, USB. И пусть читают сколько влезет :) . Объем - непроблема, можно записать столько дисков, сколько требуется, двухслойных, например. Единственный минус - носить сам девайс..

есть еще один вариант. положить на винт всю информацию в ISO-образ. ну и эмулятор в придачу (вот через него зараза может гулять правда, но он и на дискетку влезит, имею в виду эмулятор :) ). ISO-образ монтируем как CDROM, данные читаются но не пишутся.

ackerman2007, это ты предлагаешь мне изобрести велосипед, для того чтобы потом снять с него колесо, и на его примере изобрести колесо%)
А по поводу DVD, поток данных проходит большой и за неделю мы будем выкидывать в деньгах по 2-3 переносных винта...

DruOleg, ну других вариантов вроде нет. да и не видел я еще вредоносного ПО, которые умело бы ISO-образы модифицировать. да и если что - образ легко правится в UltraISO, WinISO.

Да, лучше уж на DVD-RW в таком случае таскать, как посоветовал dmitryst. (Я надеюсь, что клиенты не настолько "бюджетные", что у них DVD вставить некуда?)
А это ваши проблемы?

DJ Mogarych, встречаются клиенты, у которых USB порты отсутствуют, не говоря уже о работоспособном CD-Rom.
По поводу проблем, мы очень любим наших клиентов и они очень любят нас, поэтому мы стараемся как возможно заботиться о них. (Извините за поддержку отклонения от темы).
Задача, найти аналоги DVD, сейчас уже нашли выход в виде SDHC карт, благо у поставщиков есть эти девайсы на 8 и 16 гб по хорошим ценам, НО все же хочется до конца "добить" тему с переносными винчестерами. Очень хотелось бы насчет NTFS услышать ответ... Есть ли возможность както редактировать ее, чтоб она могла "закрываться" после записи файлов, пусть до форматирования...

Как-то не очень всё это вяжется... Отсутствует USB и CD-ROM, но можно использовать SDHC?! Хм... К тому же на 40 Гб карточек я пока что не видел. :)

А вообще хочу предложить на рассмотрение два варианта решения проблемы.
1. Требования - CD-Rom, с которого можно загрузиться, и USB-порт.
Берёте в дорогу Live-CD, и любой внешний накопитель c интерфейсом USB.
2. Требования - доступ к внутренностям компьютера и свободный IDE (SATA) порт.
Берёте в дорогу жёсткий диск с установленной и специально подготовленной системой (отсутствие драйверов на контроллеры ЖД, видеокарт, и т.д.), переключаетесь в BIOS на загрузку с этого диска, и вперёд. ИМХО - слишком много недостатков, но как альтернатива...

Единственно, чего следует опасаться в обоих случаях - Autorun-вирусов. Если будете заходить на диски заказчика, просто щёлкая по ним мышкой - заражение очень вероятно. Методы борьбы подробно описаны в этой теме.

DmB89, хорошее предложение, но на фоне варианта карт памяти не будет иметь жизнь в данном вопросе, т.к. вероятность заражения очевидна и проблем больше...
П.С.: USB и CD-Rom не у всех клиентов отсутствует, и не всегда оба сразу. И их отсутствие я обозначил ввиду обьяснения отказа от использования компакт дисков... И я вроде четко написал, что есть возможность приобретения карт памяти объемом 8 и 16 гб, и не чего не говорил про 40 гб...

DruOleg, как вариант, берем с собой винчестер с *NIX системой, грузимся с него - вирусам фиг, раздел делаем readonly :jester:

А ещё можно всем клиентам антивирус установить. Или вообще забить на эти проблемы. У вас-то антивирус есть.

dmitryst, не могли бы ссылки и описание дать?

Осенило только что:)
Обычно переносные винты работают ведь через коробку с USB, можно ли как то, программой или как, поставить ограничение на запись через USB порты?:)

Есть твик реестра.
Но его ведь нужно применить до подключения, или может через autorun.inf на переносном винте запустить выполнение reg файла??? Не пробовал, мысли вслух... :)

Кто сможет скомпилировать данный файл для автозагрузки с винчестера?:) И если можно, для отмены твика потом:)

а как же первый пост?Так какой объём всё-таки нужен? От 40 - это больше 40, а никак не 8 или 16...
Дык тут вся эта история затевается в основном для защиты от вирусов, а если в системе присутствует вирус типа autorun, то при подключении внешнего винчестера первым делом перезапишется файл autorun.inf!!! К тому же автозапуск программ работает только с CD или DVD.
Ещё раз говорю - ознакомьтесь с материалами темы autorun!

По моему, идея с картридером + карта SD с защёлкой - оптимальное решение.
Если боитесь autorun-еров, то прислушайтесь к совету: На компах с XP ОСТАНОВИТЕ и ВЫКЛЮЧТЕ тупорылую службу "Определение оборудования оболочки", которая является разносчиком вирусов. И в политиках безопасности отключите автозапуск с внешних носителей (можно даже и с CD/DVD).
В крайнем случае подойдёт совет юзать образ ISO и USB-HDD.
А чтобы вирусы не смогли себя записать на оставшееся свободное место на винте - просто запишите на это место любую инфу, не подверженную "заражению", чтоб место на винте не осталось совсем. Тогда и вирусу просто НЕКУДА будет записываться.

Murman.by, так и пришлось склониться к SDHC флешкам на 8 гб с USB картридером...
А по забиванию на винтах свободного пространства... очень это бестолковый труд получится, тоже об этом думал... просто данная работа лишь капля в море по отношению ко всей моей работе... Но совет дельный, может кому и пригодится для не частого использования;)
И по поводу:
хотелось уточнить, у не будет ли это мешать обычной работе. Так как очень интересный совет:) и думаю применить на практике

DruOleg, а КАК оно будет мешать обычной работе? Наоборот, при подкючении флехи(USb-HDD) комп не будет сканировать её содержимое и предлагать "с помощью чего открыть каталог или файлы". За это и отвечает служба "Опред.оборуд.оболочки". Я и так знаю что у меня на флехе есть! И для открытия содержимого я юзаю только Total Commander (надеюсь и вы НЕ Проводником пользуетесь). Тогда смысл этих тупых системных вопросов?
А для CD/DVD - если мне нужно сделать Автозапуск с диска я сам, через контекстное меню выберу пункт Автозапуска, я не до такой степени ленивый. Не надо мне эти медвежьи услуги авторана! Надеюсь, вы такого же мнения?

Так что же получается - вы у своих клиентов будете службы настраивать, реестр править?! А вам позволят это делать, вообще-то? Или вы будете у них сисадминами на полставки? :)
По поводу SDHC вроде бы уже говорилось: Стало быть, мнение поменялось, и уже не надо "от 40 ГБ" и дёшево, а устраивает 16 ГБ и дорого? В принципе, если устраивает - тогда не нужны никакие танцы с бубнами и отключением служб. Всё решается простым переключателем защиты от записи. Только определитесь уже, что именно вы собираетесь дальше обсуждать, и собираетесь ли вообще. Может, стоит пометить тему как "решённую"?

Н-да... Это просто песня! Мега защита! :lol: От этакой "защиты" вреда больше, чем от вирусов!

Не спорю, защита - отстой. Но всё-таки, хоть какая-то мера в условиях "write enabled".
Причём, пару раз этой схемой сам пользовался. Помогло.
Хотя, если автору уже SD-карточки хватает - тему можно закрывать.

есть такой хороший софт TrueCrypt. Основное назначение - шифрование данных, но с помощью него можно создать файл-контейнер любого объема или же использовать целиком винчестер или раздел под контейнер. Так вот, при монтировании есть опция "mount as read only", т.е. есть вариант почитать фак и дополнительно погуглить в поисках удобного решения.
Как я себе это представляю: пишется небольшой батничек, который монтирует volume только для чтения. Возможно, все гораздо проще, я пользуюсь этой программой по прямому назначению и не вникал в ненужные мне функции.

А если доверенное лицо присутствует при каждой установке винта в систему, то вообще галочку 'read only' можно ставить вручную.

ЗЫ: Для самого быстрого доступа к данным криптуем образ самым простеньким алгоритмом (там есть тесты скорости чтения/записи)

______________
только что глянул, в настройках есть галочка монтировать только для чтения :)
т.е. делаете автономный носитель (прога поможет), который будет содержать экзешник для открытия образа и сам образ - и вуаля

invidia,
Аха, а вирус (например - ххх.Durov) спокойненько превращает твои контейнеры, ехешники и батнички, в файлы нулевой длины, которые (если фрагментированы) практически не восстановимы. ;)

ага, а как с такими вирусами вообще может работать Windows?

invidia, не забывайте, что для работы TrueCrypt нужны права администратора, к тому же при таком подходе мы защитим только содержимое контейнера, сам же контейнер равно как и исполняемые файлы TrueCrypt'a (TrueCrypt.exe truecrypt.sys) доступны для модификации вредоносным ПО.

Что касается вопроса поднятого автором темы, то оптимальным вариантом видится, как уже предложил dmitryst, загрузочный USB-HDD с установленной Linux системой с поддержкой записи на NTFS разделы (например, Ubuntu).
Тогда схема действий будет примерно такая:
- к выключенному компьютеру подсоединяется USB-HDD
- при загрузке компьютера выбираем загрузку с нашего съёмного диска (обычно через BIOS)
- под Linux производим операции копирования нужных данных с/на компьютер заказчика
- выключаем машину, отсоединяем USB-HDD

установщик TrueCrypt можно хранить на CD или на флешке с защитой от записи.

Ну почему люди до сих пор путают тёплое с мягким? :) Ведь сам же написал:Вот именно! Защита данных от несанкционированного доступа и/или изменения, а никак не защита от вирусов и червей!
И поскольку автор пометил тему решённой, то давайте дальнейшее обсуждение вести в другой теме, например вот здесь.

С данной проблемой разобрался следующим образом:
У меня есть веник pqi на 500 ГБ.
Форматирую его программой Acronis Disk Director так:
400 Гб в файловую систему ex3 и называю его Storage;
100 Гб в файловую систему ntfs (можно и в fat, если с win 98 имеешь дело) и называю его Flash;

Вывод: когда подключаем веник к компу с любой виндой ей доступен только раздел Flash; другой раздел Storage можно увидеть только под Linux, а под linux вирусов нет )))

На свой "ЛЮБИМЫЙ"(без вирусов) компьютер ставишь прогу: ext2fsd с сайта www.ext2fsd.com и обретаешь способность читать и ПИСАТЬ на Storage. Ставишь прогу в автозагрузку и радуешься.
На раздел Flash кидаешь программу Linux Reader (погугли). Эта прога работает только в режиме read-only с разделом Storage. Вот и все. Подведём итоги:
На своём "ЛЮБИМОМ" компьютере при подключении веника мы видим 2 раздела: Storage и Flash (и в оба можем писать и читать).
Когда ходим с веником по гостям. К какому бы компу вы его не подключили все будут видеть только раздел Flash. Если нужно получить доступ к Storage (доступ осуществляется только в read-only) запускаем с Flash прогу Linux Reader (типа проводника Windows) и копируем с раздела Storage всё что надо.

- и вирус autoran в том числе ;)

Раздел Flash создаётся чисто для меня. Как флешка. Рабочее место, которое не жалко форматить. Никто вам не мешает отформатировать весь веник в ex3. А linux reader держать на маленькой dvd-rw, как ключ. Тогда будет read-to read only. Ни какой записи. И всё красиво.

Для опытного пользователя, для чайника - темный лес :) Опытному пользователю зачастую и защита не нужна.

- вирусу без разницы "для меня" или для дяди Васи ;)- началось :), давайте таскать с собой тележки "для чего-то"- никакой "красоты" не вижу, вижу не знание предмета темы.
Для ознакомления, первая ссылка в поиске. Скажем так, не надо возносить до небес файловые системы Linux ;) Да и про существующие вирусы почитайте.

http://zalman.ru/product/product_read.php?id=171

Кнопка защиты от записи

Для предотвращения случайной записи на HDD передвиньте переключатель в положения “замок”.


______________

Может, кто ещё будет искать...
Такие боксы (с аппаратной защитой от записи) были когда-то на IDE дисках от Sarotech,
теперь на SATA от ZALMAN :-)

Всем успехов! :-)

Попробуй TrueCrypt или Rohos. Для создания зашифрованных контейнеров. Не знаю можно ли задать права доступа на контейнер (и в самом контейнере) и программу только для чтение, и не будут ли они препятствовать записи файлов админа. По идеи они защитят данные от копирования и редактирования. Чем хороши контейнеры, да тем что их можно сделать несколько для различных пользователей (тем и разделить доступ к файлам). Желателен отформатировать носитель в формат NTFS

В TrueCrypt тоже можно написать батник и скомпилировать его в exe (по желанию), при запуске которого будет автоматически монтироваться раздел (сразу появится окно запроса паролей). Остальные файлы программы можно скрыть, чтобы глаза не мозолили.

Есть вариант написать батник с паролем который будит раздавать атрибуты и скомпилировать его в exe. После чего давать его как ключ доступа к файлам (но это лишь создает видимость защиты и более грамотный человек сможет сам задать атрибуты).

Для документов Microsoft можно задавать пароли, а чтобы не запутаться можно использовать программу хранения паролей Keepass или KeepassX (имеют функцию шифрования).

Защити свой компьютер для начала. Отключи автозапуск с устройств (панда вакцин). Я обычно ставлю антивиркс (аваст) + фаервол (comodo) + защита реестра (2ip) + защита от autoran (USB Guar) + ну и по желанию сканер антивирусов тут на любой вкус (clamwin)

Защита флешки. Установи вакцину от autoran (панда вакцин), портативный антивирус сканер (clamwin, drweb и т.д.). Задай права доступа (Только для носителей отформатированных в NTFS).

Для пользователь у которых есть интернет можно использовать сервис googledrive. Можно работать с файлами и документами (редактировать и скачивать). Раздаешь права для файлов, кидаешь ссылку по почте. Размер хранилища 15 гб.

Зашифровка носителя полностью подразумевает наличие программы шифрования и на другом ПК. Разбивать диск на два раздела на первом хранить программу для шифрования, а другой диск шифровать. Это не целесообразно.

Аппаратная защита тоже имеет минусы. Все равно надо защиту от вирусов и устанавливать права доступа. И цена такого носителя дороговата.

Есть еще вариант. Работать на носителе без запуска установленной ОС на чужой машине. Разбить диск на два раздела. На первый установить дистрибутив Live USB Linux (Ubuntu или другой на выбор), запустить его установить на него нужный софт (Clamwin, liboffice, truecrypt, keepassX, для запуска exe файлов используйте wine или виртуальную машину). Задать права доступа. На втором делаем так как написано в самом начале топика. На зараженной машине или у клиента вставляем флешку и включаем компьютер после чего загружаемся из биоса с флешки и работаем. Это хорошо тем что не один вирус не запустится, останется лишь просканировать на вирусы те файлы которые вы собираетесь скинуть к себе.
Минус в том что не каждый компьютер имеет возможность запуск с usb. Неудобство использования (особенно для тех кто не разу не пользовался Linux).
Плюс в том что мы имеем автономную хорошо защищенною систему. На которой мы можем работать, переписываться по почте и другим клиента IM, выходить в интернет. Не оставляя не каких данных на чужом пк. Мы можем пользоваться носителем как и на windows так и загрузиться с самого носителя.

Читал топик о носителе с аппаратной защитой и собственным процессором, осу. Вот тот делает все, защита данных максиму. Но и стоит он много.