Уязвимость личных данных Onedrive
 

Компьютер находится в домене, есть подключение к Ondrive. Соответственно, создается локальная копия содержимого Onedrive в профиле.
Захожу с правами доменного админа и спокойно просматриваю любые свои папки. Был шокирован, поскольку права есть у нескольких человек, а я считал что содержимое облака конфиденциально даже в домене. По крайней мере в профиль GoogleDrive просто так зайти не получится. Думал что и MS этот вопрос отработали, а оказалось - не совсем.

Пробовал включить шифрование этой папки ондрайв, но ничего с этого не получилось. Пишет что-то про неверный сертификат. Как и другие папки тоже не дает зашифровать с той же ошибкой. Почему - не знаю.

Я конечно в шоке и теперь не знаю что и делать. По хорошему надо выносить ондрайв с рабочего компа и никогда не вводить там пароль от учетки MS. Но может быть кто-то знает как заблокировать папку профиля Onedrive для просмотра даже от пользователей с правами доменного админа?

Никакой уязвимости тут нет. Есть незнание принципов работы ОС и вероятное нарушение политик безопасности организации.Вы не знали, что администратор может получить доступ куда угодно? Это секрет Полишинеля...
А почему вы на работе держите личные файлы? Может, вы еще и рабочие файлы к себе в облако загружаете? Вы хотите поговорить об этом с отделом ИБ? :)

Ну вот только почему-то гугл эту проблему решил. И сунуться в локальную копию чужого облака гугла даже с правами админа, ну по крайней мере у меня - не получилось. Я просто по инерции считал, что раз Гугл с этим разобрался, то уж MS и подавно решили этот вопрос (с их-то политикой, приветствующей использования личных устройств на работе внедренной в 10-ке). Даже проверять не стал. И как бы слегка офигел, обнаружив, что копия облака - это просто папка, без всяких шифровок.

В общем, я продолжил свои изыскания и попытался решить проблему с помощью EFS. Частично проблему решить удалось. Скопированные с доменной машины в облако файлы не видит даже админ. Винда заявляет ему, что у него нет доступа, хотя доступ у него полный, и смена владельца доступ тоже не дает. При этом из дома такой файл открывается (т.е. файлы можно тырить, и ИБ ничего не увидит, и эту "проблему" МС никак здесь не решил. Как будто мне что-то мешало слить эти файлы в облако через веб или вебдав)

Но стоит мне с доменной машины открыть в облаке зашифрованный файл, изменить там пару строк и сохранить его обратно - файл становится доступным для админа. Т.е. получается, что при копировании файла в облако, он шифруется в копии, в при сохранении - нет. Естественно, если я копирую или исправляю что-то из дома, то в локальной копии рабочей машины файлы попадают незашифрованными, хотя в свойствах папки стоит - шифровать все, что там есть.

В общем, скрыть эти данные можно, если их после этого не редактировать и не добавлять новых с других компьютеров. Проще Ondrive вынести.

Такое подход в безопасности может быть и был бы оправдан, если бы Винда сама не приставала к пользователю: введи данные, не назначала ондрайв дефолтной папкой для сохранения документов офиса, и не лепила бы его в список ресурсов компьютера (даже когда Ondrive не задействован). Тогда бы он многим пользователям 300 лет был не нужен. А так его практически впарили, а тут еще и оказалось, что данные которые там хранятся может смотреть кто-то еще. Это что не косяк МС что ли?

Вы путаете безопасность и конфиденциальность.
Это просто потому, что у вас это либо не запрещено, либо не отслеживается / не наказывается службой ИБ. Думаю, она также не будет возражать, если вы создадите какой-нибудь шифрованный контейнер сторонним ПО.

[ Это такой риторический вопрос. С точки зрения пользователя, эта лазейка затрагивает его безопасность. А для организации это будет всего лишь нарушением прав конфиденциальности пользователя, не затрагивающем безопасность организации. Только на чьей стороне здесь МС?

Мне непонятно другое. Я устанавливаю Windows 10 и выбираю: этот компьютер принадлежит мне. Включаю его в домен организации. Допустим, что включение компьютера в домен означает мое согласие, что файлы находящиеся на компьютере будет доступны администрации. Но насчет облака я такое согласие никак не давал. Почему же при подключении к облаку, Виндос не выдает большими красными буквами, что файлы, находящиеся в облаке будут теперь доступны администрации предприятия, и политика конфиденциальности теперь на облако не распространяется.

В в сухом остатке имеем, что МС без согласия пользователя, передает (точнее, дает возможность увидеть и скопировать) его личные данные, хранящиеся в облаке третьим лицам - это чистый факт, который можно только трактовать с разных позиций. Я был склонен считать, что это все-таки уявзимость и следствие ошибки. А Вы, Вадим, утверждаете, что никакой уязвимости и ошибки здесь нет - это такая нормальная политика безопасности, необходимая для предотвращения утечек корпоративных данных. Ну я даже не знаю, какой их этих вариантов хуже :)

Нет, это просто непонимание разницы между понятиями.

Потому что OneDrive по определению синхронизирует файлы между устройством и облаком.

Почему же без согласия? Вы только что согласились на это ↓

---

Угу, утверждаю.

А вот этого я не говорил.