[Vadikan]

Цитата scorpy490:

Уязвимость личных данных Onedrive »

Никакой уязвимости тут нет. Есть незнание принципов работы ОС и вероятное нарушение политик безопасности организации.

Цитата scorpy490:

Захожу с правами доменного админа и спокойно просматриваю любые свои папки. Был шокирован »

Вы не знали, что администратор может получить доступ куда угодно? Это секрет Полишинеля...

Цитата scorpy490:

Я конечно в шоке и теперь не знаю что и делать. По хорошему надо выносить ондрайв с рабочего комп »

А почему вы на работе держите личные файлы? Может, вы еще и рабочие файлы к себе в облако загружаете? Вы хотите поговорить об этом с отделом ИБ? :)

[scorpy490]

Цитата Vadikan:

Вы не знали, что администратор может получить доступ куда угодно? Это секрет Полишинеля... »

Ну вот только почему-то гугл эту проблему решил. И сунуться в локальную копию чужого облака гугла даже с правами админа, ну по крайней мере у меня - не получилось. Я просто по инерции считал, что раз Гугл с этим разобрался, то уж MS и подавно решили этот вопрос (с их-то политикой, приветствующей использования личных устройств на работе внедренной в 10-ке). Даже проверять не стал. И как бы слегка офигел, обнаружив, что копия облака - это просто папка, без всяких шифровок.

[scorpy490]

В общем, я продолжил свои изыскания и попытался решить проблему с помощью EFS. Частично проблему решить удалось. Скопированные с доменной машины в облако файлы не видит даже админ. Винда заявляет ему, что у него нет доступа, хотя доступ у него полный, и смена владельца доступ тоже не дает. При этом из дома такой файл открывается (т.е. файлы можно тырить, и ИБ ничего не увидит, и эту "проблему" МС никак здесь не решил. Как будто мне что-то мешало слить эти файлы в облако через веб или вебдав)

Но стоит мне с доменной машины открыть в облаке зашифрованный файл, изменить там пару строк и сохранить его обратно - файл становится доступным для админа. Т.е. получается, что при копировании файла в облако, он шифруется в копии, в при сохранении - нет. Естественно, если я копирую или исправляю что-то из дома, то в локальной копии рабочей машины файлы попадают незашифрованными, хотя в свойствах папки стоит - шифровать все, что там есть.

В общем, скрыть эти данные можно, если их после этого не редактировать и не добавлять новых с других компьютеров. Проще Ondrive вынести.

Такое подход в безопасности может быть и был бы оправдан, если бы Винда сама не приставала к пользователю: введи данные, не назначала ондрайв дефолтной папкой для сохранения документов офиса, и не лепила бы его в список ресурсов компьютера (даже когда Ondrive не задействован). Тогда бы он многим пользователям 300 лет был не нужен. А так его практически впарили, а тут еще и оказалось, что данные которые там хранятся может смотреть кто-то еще. Это что не косяк МС что ли?

[Vadikan]

Цитата scorpy490:

Такое подход в безопасности может быть и был бы оправдан »

Вы путаете безопасность и конфиденциальность.

Цитата scorpy490:

Как будто мне что-то мешало слить эти файлы в облако через веб или вебдав) »

Это просто потому, что у вас это либо не запрещено, либо не отслеживается / не наказывается службой ИБ. Думаю, она также не будет возражать, если вы создадите какой-нибудь шифрованный контейнер сторонним ПО.

[scorpy490]

[

Цитата Vadikan:

Вы путаете безопасность и конфиденциальность. »

Это такой риторический вопрос. С точки зрения пользователя, эта лазейка затрагивает его безопасность. А для организации это будет всего лишь нарушением прав конфиденциальности пользователя, не затрагивающем безопасность организации. Только на чьей стороне здесь МС?

Мне непонятно другое. Я устанавливаю Windows 10 и выбираю: этот компьютер принадлежит мне. Включаю его в домен организации. Допустим, что включение компьютера в домен означает мое согласие, что файлы находящиеся на компьютере будет доступны администрации. Но насчет облака я такое согласие никак не давал. Почему же при подключении к облаку, Виндос не выдает большими красными буквами, что файлы, находящиеся в облаке будут теперь доступны администрации предприятия, и политика конфиденциальности теперь на облако не распространяется.

В в сухом остатке имеем, что МС без согласия пользователя, передает (точнее, дает возможность увидеть и скопировать) его личные данные, хранящиеся в облаке третьим лицам - это чистый факт, который можно только трактовать с разных позиций. Я был склонен считать, что это все-таки уявзимость и следствие ошибки. А Вы, Вадим, утверждаете, что никакой уязвимости и ошибки здесь нет - это такая нормальная политика безопасности, необходимая для предотвращения утечек корпоративных данных. Ну я даже не знаю, какой их этих вариантов хуже

[Vadikan]

Цитата scorpy490:

Это такой риторический вопрос. С точки зрения пользователя, эта лазейка затрагивает его безопасность. »

Нет, это просто непонимание разницы между понятиями.

Цитата scorpy490:

Почему же при подключении к облаку, Виндос не выдает большими красными буквами, что файлы, находящиеся в облаке будут теперь доступны администрации предприятия »

Потому что OneDrive по определению синхронизирует файлы между устройством и облаком.

Цитата scorpy490:

В в сухом остатке имеем, что МС без согласия пользователя, передает (точнее, дает возможность увидеть и скопировать) его личные данные, хранящиеся в облаке третьим лицам »

Почему же без согласия? Вы только что согласились на это ↓

Цитата scorpy490:

включение компьютера в домен означает мое согласие, что файлы находящиеся на компьютере будет доступны администрации »

---

Цитата scorpy490:

А Вы, Вадим, утверждаете, что никакой уязвимости и ошибки здесь нет »

Угу, утверждаю.

Цитата scorpy490:

это такая нормальная политика безопасности, необходимая для предотвращения утечек корпоративных данных. »

А вот этого я не говорил.