Demolka lub calkowite zablokowanie komputera z poziomu softu

[TQM]

Hej!

Wlasnie z kolega pracuje nad pewnym projektem. Poniewaz na desktopach w firmie ludki maja Windows a nie chcemy tu widziec Active Directory i wszelkie zadania jak aktualizacje, sprawdzanie co kto ma poinstalowane itd sa dosc uciazliwe (mowiac krotko - robi sie to recznie) a do tego pare osob ma uprawnienia admina na swoich kompach (nie maja czasu aby dolaczyc do domeny ktora prowadzimy), chcemy napisac software ktory bedzie robil robote za nas.

Mam pewne pomysly jak to robic i implementacja uslugi windows to nie problem, nawet w sposob, ktory pozwoli na monitorowanie laptopow uzywanych przez osoby ktore sa wiecznie poza biurem... bedziemy wiedzieli co instaluja, kiedy itd... albo co deinstaluja. Pewne elementy systemu sa narzucane przez nas i chcemy to egzekwowac bez uzywania AD.

Jeden z pomyslow jaki nam zaswital w glowie to funkcja call-home w wypadku kradziezy laptopa. Kwestia zgloszenia jego lokalizacji firmie i policji to jedno, to jest latwe... ale po takim zgloszeniu chcemy calkowicie zniszczyc dane a najlepiej sprzetowo zablokowac komputer - tylko jak to zrobic z poziomu softu? Jesli komputer ma modul TPM to mozemy probowac unieszkodliwic sprzet na poziomie TPM, jesli jednak nie ma TPM (a poza dzialem IT nikt jeszcze nie ma TPM w laptopie) to sprawa jest trudniejsza. Cel jest jeden - aby sprzet byl bezuzyteczny dla zlodzieja - cegla i tyle.

Czekam na pomysly - jesli ktos chce podac dokladniejszy opis techniczny to prosze na forum tylko po lebkach a wiecej detali na PM.

Jestem ciekaw jakie macie pomysly! My tez idziemy sie zastanawiac.

[GSG-9]

1 kazdego miesiaca niech laptop wysyla info do glownego komputera 'jestem caly i zdrowy' i jesli nie wysle w przeciagu 24 godzin nastepuje podniesienie napiecia/format/PDoS/zamazanie danych?
nie wiem czy do konca zrozumialem

[TQM]

Ja raczej mysle ze laptop bedzie co powiedzmy 15 minut sprawdzal w bezpiecznym miejscu na sieci (lub paru miejscach na wypadek gdyby jedno padlo) czy nie zostal oflagowany w jakis dziwny sposob - np. "zostales ukradziony, sprzatamy" czy "glupi user wylaczyl firewall - deaktywuj konto i wylacz komputer". Chodzi mi o takie rzeczy w sumie. Zalozenie jest jedno - mozliwosc zdalnego wyslania sygnalu uruchamiajacego destrukcje.

Wiadomo, ze dysk powinien byc kodowany do tego - to nie problem, mozemy zawsze dodac tym bardziej ze True Crypt 6 dodal nieco mozliwosci...

[VLN]

Cel jest jeden - aby sprzet byl bezuzyteczny dla zlodzieja - cegla i tyle.

MBR Delete ?

Albo może jakiś soft który po którymś tam błędnym podaniu hasła nadpisze MBR ,bądź coś jak GpCode - czyli kodowanie plików przez RSA z 1024 bitowym (albo więcej) kluczem . Ale z tego co mi wiadomo to można przywrócić takie dane .

PS. Jak zobaczyłem tytuł postu to pierwsze o czym pomyślałem to CIH.


Pozdrawiam VLN.

[javaman]

Pomysł - stawiacie bazkę jakąś z dostępem z zewnątrz, bazka zawiera np. jakieś dane identyfikujące lapka. Teraz jeśli ktoś tego lapka "pożyczy", wrzucacie do jakiejś tabeli dane o nim. Tzn. taka tabela zawiera numery "pożyczonych" lapków. Teraz - system przy uruchomieniu sprawdza czy nie jest czasem w tej tabeli zarejestrowany - jak jest to wywolanie blokady na biosa, zalozenie hasla. Np. Sprawdza, oł oł jestem na liście, wysyła ipka na wasz serwer, jeśli jest kamerka wbudowana w lapki - robi zdjęcie swojemu nowemu przyjacielowi, wysyla je na serwer, dostajecie maila/smsa ze namierzono kradzieja, blok na bios, tak by sie zablokowal komp i nie dalo sie np. odpalic botowania by system wrzucic. Calosc da się z pewnością napisać w javie+assembler

[rip]

jedyne co mozna zrobic, to zaszyfrowac dane.
To naprawde nie ma sensu, niech user ma dostep tylko do tego co potrzebuje, i za to odpowiada...

[dexter]

Sytuacja o jakiej piszesz faktycznie czerpie z Active Directory - jest to bardzo dobre roziwazanie (zakladam poziom funkcjonalnosci kontrolera i lasu na poziomie conajmniej 2003) i niebardzo rozumiem dlaczego mozesz go nie chciec. EFS z PKI pieknie zalatwilby ci temat, dane musza byc juz zabezpieczone w momencie kradziezy, nadpisywanie czegokolwiek albo szyfrowanie jakichkolwiek danych po kradziezy zdecydowanie mija sie z celem i jest bez wiekszego sensu.

Jedynym problemem sa uzytkownicy na zewnatrz firmy z poufnymi danymi - tutaj sugerowalbym zainteresowanie sie wlasnie TPM

Wszystko zalezy od tego jaki level bezpieczenstwa chcesz osiagnac