Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Сфера Microsoft » Windows Live (архив) » SkyDrive - [решено] Уязвимость личных данных Onedrive

 
Настройки темы
SkyDrive - [решено] Уязвимость личных данных Onedrive

Пользователь


Сообщения: 50
Благодарности: 3


Конфигурация

Профиль | Отправить PM | Цитировать


Компьютер находится в домене, есть подключение к Ondrive. Соответственно, создается локальная копия содержимого Onedrive в профиле.
Захожу с правами доменного админа и спокойно просматриваю любые свои папки. Был шокирован, поскольку права есть у нескольких человек, а я считал что содержимое облака конфиденциально даже в домене. По крайней мере в профиль GoogleDrive просто так зайти не получится. Думал что и MS этот вопрос отработали, а оказалось - не совсем.

Пробовал включить шифрование этой папки ондрайв, но ничего с этого не получилось. Пишет что-то про неверный сертификат. Как и другие папки тоже не дает зашифровать с той же ошибкой. Почему - не знаю.

Я конечно в шоке и теперь не знаю что и делать. По хорошему надо выносить ондрайв с рабочего компа и никогда не вводить там пароль от учетки MS. Но может быть кто-то знает как заблокировать папку профиля Onedrive для просмотра даже от пользователей с правами доменного админа?

Отправлено: 08:37, 11-12-2015

 

(*.*)


Administrator


Сообщения: 36473
Благодарности: 6671

Профиль | Сайт | Отправить PM | Цитировать


Цитата scorpy490:
Уязвимость личных данных Onedrive »
Никакой уязвимости тут нет. Есть незнание принципов работы ОС и вероятное нарушение политик безопасности организации.
Цитата scorpy490:
Захожу с правами доменного админа и спокойно просматриваю любые свои папки. Был шокирован »
Вы не знали, что администратор может получить доступ куда угодно? Это секрет Полишинеля...
Цитата scorpy490:
Я конечно в шоке и теперь не знаю что и делать. По хорошему надо выносить ондрайв с рабочего комп »
А почему вы на работе держите личные файлы? Может, вы еще и рабочие файлы к себе в облако загружаете? Вы хотите поговорить об этом с отделом ИБ? :)

-------
Канал Windows 11, etc | Чат @winsiders

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:11, 11-12-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 50
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата Vadikan:
Вы не знали, что администратор может получить доступ куда угодно? Это секрет Полишинеля... »
Ну вот только почему-то гугл эту проблему решил. И сунуться в локальную копию чужого облака гугла даже с правами админа, ну по крайней мере у меня - не получилось. Я просто по инерции считал, что раз Гугл с этим разобрался, то уж MS и подавно решили этот вопрос (с их-то политикой, приветствующей использования личных устройств на работе внедренной в 10-ке). Даже проверять не стал. И как бы слегка офигел, обнаружив, что копия облака - это просто папка, без всяких шифровок.

Отправлено: 12:17, 12-12-2015 | #3


Пользователь


Сообщения: 50
Благодарности: 3

Профиль | Отправить PM | Цитировать


В общем, я продолжил свои изыскания и попытался решить проблему с помощью EFS. Частично проблему решить удалось. Скопированные с доменной машины в облако файлы не видит даже админ. Винда заявляет ему, что у него нет доступа, хотя доступ у него полный, и смена владельца доступ тоже не дает. При этом из дома такой файл открывается (т.е. файлы можно тырить, и ИБ ничего не увидит, и эту "проблему" МС никак здесь не решил. Как будто мне что-то мешало слить эти файлы в облако через веб или вебдав)

Но стоит мне с доменной машины открыть в облаке зашифрованный файл, изменить там пару строк и сохранить его обратно - файл становится доступным для админа. Т.е. получается, что при копировании файла в облако, он шифруется в копии, в при сохранении - нет. Естественно, если я копирую или исправляю что-то из дома, то в локальной копии рабочей машины файлы попадают незашифрованными, хотя в свойствах папки стоит - шифровать все, что там есть.

В общем, скрыть эти данные можно, если их после этого не редактировать и не добавлять новых с других компьютеров. Проще Ondrive вынести.

Такое подход в безопасности может быть и был бы оправдан, если бы Винда сама не приставала к пользователю: введи данные, не назначала ондрайв дефолтной папкой для сохранения документов офиса, и не лепила бы его в список ресурсов компьютера (даже когда Ondrive не задействован). Тогда бы он многим пользователям 300 лет был не нужен. А так его практически впарили, а тут еще и оказалось, что данные которые там хранятся может смотреть кто-то еще. Это что не косяк МС что ли?

Отправлено: 23:22, 12-12-2015 | #4


(*.*)


Administrator


Сообщения: 36473
Благодарности: 6671

Профиль | Сайт | Отправить PM | Цитировать


Цитата scorpy490:
Такое подход в безопасности может быть и был бы оправдан »
Вы путаете безопасность и конфиденциальность.
Цитата scorpy490:
Как будто мне что-то мешало слить эти файлы в облако через веб или вебдав) »
Это просто потому, что у вас это либо не запрещено, либо не отслеживается / не наказывается службой ИБ. Думаю, она также не будет возражать, если вы создадите какой-нибудь шифрованный контейнер сторонним ПО.

-------
Канал Windows 11, etc | Чат @winsiders


Отправлено: 13:42, 14-12-2015 | #5


Пользователь


Сообщения: 50
Благодарности: 3

Профиль | Отправить PM | Цитировать


[
Цитата Vadikan:
Вы путаете безопасность и конфиденциальность. »
Это такой риторический вопрос. С точки зрения пользователя, эта лазейка затрагивает его безопасность. А для организации это будет всего лишь нарушением прав конфиденциальности пользователя, не затрагивающем безопасность организации. Только на чьей стороне здесь МС?

Мне непонятно другое. Я устанавливаю Windows 10 и выбираю: этот компьютер принадлежит мне. Включаю его в домен организации. Допустим, что включение компьютера в домен означает мое согласие, что файлы находящиеся на компьютере будет доступны администрации. Но насчет облака я такое согласие никак не давал. Почему же при подключении к облаку, Виндос не выдает большими красными буквами, что файлы, находящиеся в облаке будут теперь доступны администрации предприятия, и политика конфиденциальности теперь на облако не распространяется.

В в сухом остатке имеем, что МС без согласия пользователя, передает (точнее, дает возможность увидеть и скопировать) его личные данные, хранящиеся в облаке третьим лицам - это чистый факт, который можно только трактовать с разных позиций. Я был склонен считать, что это все-таки уявзимость и следствие ошибки. А Вы, Вадим, утверждаете, что никакой уязвимости и ошибки здесь нет - это такая нормальная политика безопасности, необходимая для предотвращения утечек корпоративных данных. Ну я даже не знаю, какой их этих вариантов хуже

Отправлено: 20:31, 14-12-2015 | #6


(*.*)


Administrator


Сообщения: 36473
Благодарности: 6671

Профиль | Сайт | Отправить PM | Цитировать


Цитата scorpy490:
Это такой риторический вопрос. С точки зрения пользователя, эта лазейка затрагивает его безопасность. »
Нет, это просто непонимание разницы между понятиями.

Цитата scorpy490:
Почему же при подключении к облаку, Виндос не выдает большими красными буквами, что файлы, находящиеся в облаке будут теперь доступны администрации предприятия »
Потому что OneDrive по определению синхронизирует файлы между устройством и облаком.

Цитата scorpy490:
В в сухом остатке имеем, что МС без согласия пользователя, передает (точнее, дает возможность увидеть и скопировать) его личные данные, хранящиеся в облаке третьим лицам »
Почему же без согласия? Вы только что согласились на это ↓
Цитата scorpy490:
включение компьютера в домен означает мое согласие, что файлы находящиеся на компьютере будет доступны администрации »


Цитата scorpy490:
А Вы, Вадим, утверждаете, что никакой уязвимости и ошибки здесь нет »
Угу, утверждаю.

Цитата scorpy490:
это такая нормальная политика безопасности, необходимая для предотвращения утечек корпоративных данных. »
А вот этого я не говорил.

-------
Канал Windows 11, etc | Чат @winsiders

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:14, 15-12-2015 | #7



Компьютерный форум OSzone.net » Сфера Microsoft » Windows Live (архив) » SkyDrive - [решено] Уязвимость личных данных Onedrive

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Уязвимость жёстких дисков Seagate открывает возможность кражи данных OSZone News Новости железа 0 08-09-2015 14:30
Облачный сервис хранения данных SkyDrive официально переименован в OneDrive OSZone News Новости и события Microsoft 0 19-02-2014 14:30
Samsung заявила, что "уязвимость" в KNOX вовсе не уязвимость OSZone News Новости информационных технологий 0 11-01-2014 01:30
Разное - Outlook - Файл личных папок p.h.a.n.t.0.m Microsoft Office (Word, Excel, Outlook и т.д.) 15 08-08-2013 19:49
Доступ - Скрытие личных данных пользователя reutovo Microsoft Windows 7 2 17-04-2011 12:01




 
Переход