USB поділився між студентами: встановіть пароль лише для написання

Я шкільний викладач, і я хотів би поділитися файлами на USB-паличці серед учнів і так серед різних ОС.

Зокрема, я хотів би встановити пароль для запису / зміни, в той час як вміст USB можна прочитати для всіх. Це призначено для запобігання розповсюдження шкідливих програм.

Це можливо?

Оскільки цей накопичувач буде використовуватися в системах, якими ви не керуєте, або які не є Linux, і в іншому випадку не підтримуєте схему дозволів Linux, вам тут трохи не пощастило.

Немає реального способу зробити захист паролем, який ви шукаєте на диску, не маючи спеціалізованого обладнання, і це, як правило, не є рентабельним як рішення (детальніше нижче).

Зауважте, що я професіонал з безпеки ІТ, тому, якщо в цьому повідомленні та відповіді мені здається приниженням або знущанням, я не маю на увазі це таким чином, я просто надто критичний, коли мова йде про безпеку, оскільки це моя робота бути таким шлях.

(Прокрутіть униз до розділу "Якщо ви дійсно хочете захистити безпечний спосіб спільного використання флеш-накопичувача ..." нижче, якщо ви не хочете почути мою вихвалу щодо всіх ризиків для безпеки, які ви представляєте.)

Правило безпеки системи 0: НІКОЛИ не діліться навколо USB-накопичувачів, якщо ви хочете обмежити ризик зловмисного програмного забезпечення!

Я кажу, що це правило 0, але це дійсно правило 0B - правило 0A стосується фізичного доступу до систем.

Але простіше кажучи, це ОСНОВНИЙ ризик безпеки. Спроби використовувати USB для розповсюдження даних навколо вас, ви негайно ризикуєте не мати можливості контролювати, чи є зловмисне програмне забезпечення на палиці чи ні. Частково це обходить USB-накопичувачами з перемикачем блокування лише для читання, наприклад Kanguru FlashTrust 3.0 , але їх можна легко повернути для читання / запису, перевівши комутатор.

Як професіонал із безпеки, я настійно пропоную вам надати альтернативний метод для відключення USB-накопичувача для доступу до предметів для вашого класу , таких як обліковий запис Box або файли, що надходять із сайту у веб-просторі вашого навчального закладу.

Іншою альтернативою є повністю записаний компакт-диск / DVD, який повністю записується, і він би працював так само добре, оскільки він був би повністю записаний і не мав зайвого простору на ньому, коли ви повністю заблокуєте пристрій, диск уже вважатиметься "лише для читання". Якщо вам не потрібно обмінюватися величезними файлами, в цьому випадку опція DVD може не працювати. Однак все більше і більше пристроїв випускаються на ринок без приводів CD / DVD, однак це означає, що і це не самий ідеальний варіант.

Я також буду робити пари, що, поширюючи цю флешку, ви порушуєте кілька правил щодо "авторизованих пристроїв" на комп'ютерних системах вашої школи, але я не можу з цим говорити.

Якщо ви дійсно хочете захистити безпечний спосіб спільного використання флешки ...

... ви починаєте входити у світ дуже дорогого обладнання, наприклад, Apricorn Aegis SecureKey 3, який є апаратним зашифрованим накопичувачем пальців, що дозволяє встановлювати пароль для режиму адміністратора, а також надає паролі коду користувача лише для читання як вторинні коди на пристрій. Таким чином, диск блокується в режимі лише для читання для не-адміністраторів і в режимі читання / запису для користувача адміністратора коду.

Проблема в цьому, це дорого - 129 доларів США за всього лише 16 ГБ захищеної палиці - це, в основному, за рахунок витрат на апаратно зашифровані пристрої (але такі пристрої розроблені для особливого набору можливих випадків використання, і як такі наявність дешевшої продукції дорівнює нулю через відсутність попиту галузі). Тому зазвичай це не вигідний варіант, особливо якщо ви не довіряєте своїм студентам.

Зрештою, однак, насправді не існує простого безцінного або економічно вигідного способу досягти бажаного за допомогою простої USB-накопичувача, зберігаючи перехресну сумісність ОС, і навіть тоді ви не можете гарантувати безпеку.

Проблема полягає в тому, що багато різних ОС використовуються і в процесі гри. Навіть якби ОС не були чинником, будь-який користувач із rootвладою міг би надати собі доступ, якби це палиця у форматі Linux із встановленими дозволами Linux. Просто немає можливості досягти безпеки USB-накопичувача за допомогою недорогих або недорогих рішень.

Це один з небагатьох разів у світі, що обмін через хмару (Dropbox, Google Docs, Box, навіть екземпляр OwnCloud) є правильним рішенням, оскільки немає ризику зараження зловмисним програмним забезпеченням лише завантаженням файлу (якщо тільки сам файл є шкідливим програмним забезпеченням). (І ймовірність зараження однієї з вищезгаданих хмарних служб такою шкідливою програмою, на яку ви намагаєтеся захиститись, надзвичайно низька)

Поділіться компакт-диском або DVD-диском.

Диски для запису - це дуже дешево. Диски теж дешеві. Купіть зовнішній USB-програвач DVD за менше 30 доларів, він буде працювати на будь-якому сучасному комп’ютері, і ви можете позичити його студентам, які не мають власного накопичувача.

Усі, крім дорогих дисків, записуються одноразово, тому дані, які ви записуєте на диск, неможливо переписати. Вам потрібно переконатися, що ви записуєте диск на повну потужність, інакше файлова система на диску може бути змінена або замінена, записавши більше даних у порожні регіони. Навіть якщо ви залишаєте порожній простір, на оптичному диску буде поширюватися менше шкідливих програм, ніж на флешці.

Недолік цього полягає в тому, що якщо ви хочете поділитися даними, які є більшими, ніж розміщення на декількох дисках (DVD, що записується, має близько 4 гігабайт), то флешка великої ємності набагато зручніша, ніж велика кількість дисків. Я не сподіваюся, що це буде застосовано і у вашому випадку.

Спільний доступ до фізичних носіїв є жахливою ідеєю щодо безпеки. Навіть якщо ви ділитесь компакт-дискам, який доступний лише для читання, ваші студенти можуть просто придбати порожній компакт-диск тієї самої марки та написати оригінальний вміст + зловмисне програмне забезпечення на ньому. Вам потрібно буде підписувати, скріплювати печаткою чи іншим чином робити медіа унікальними, щоб не допустити цього, і в ідеалі ваші студенти повинні приймати його лише з ваших рук, а не один з одного. В іншому випадку оригінальний медіа може розповсюджуватися серед однієї групи студентів (і ви), тоді як підроблені медіа надаються іншій групі.

Аналогічну хитрість можна зіграти на зашифрованих накопичувачах із кодом доступу лише для читання: один із учнів міг би зберегти образ диска, записати заражене зображення з тим же паролем для читання та розповсюдити накопичувач серед інших. Оригінальне зображення може бути відновлено до повернення накопичувача.

Щоб запобігти подібним загрозам, вашим учням доведеться отримати цифровий підпис оригінальних даних з іншого місця, наприклад шкільного сервера, і знати, як це перевірити. Дійсно, було б набагато простіше зберігати файли, якими ви хочете поділитися на сервері, де ви зберігаєте підпис, що робить процес спільного доступу таким же простим, як і надання студентам посилання на завантаження.

Люди вже відповіли на ваше буквальне запитання. Дозвольте спробувати взяти конт в справжньому питанні.

Я припускаю, що у вас є обмеження в Інтернеті, які заважають вам завантажувати файли.

У цьому випадку ви можете надати зображення ( .isoфайл) на USB, а потім сказати студентам запустити sha256sumфайл і перевірити його хеш на той, який ви надаєте за допомогою інших засобів, перш ніж відкрити файл.

Ті, хто співпрацюють і не роблять нічого іншого, не повинні заражатися вірусом.

чому ви просто не завантажите матеріал на якийсь сайт і не поділитесь ним паролем?

якщо ви знаходитесь в одній мережі, зробіть це місцевим сайтом іншим, але сайтів для безкоштовного завантаження багато