Гру 1 2020
Наработки в OwnCloud + BitLocker на рабочем месте

Задумка: Как обезопасить свои наработки которые я делаю в течении рабочего дня находясь на рабочем месте в офисе. Да я все документирую, зарисовываю, составляю таблицы, карты, анализ ошибок. Храню это в папке для каждой работы, в конце дня архивирую и отправлю к себе в личное облачное хранилище на базе OwnCloud 10 + Ubuntu 18.04. Но это как-то не по-админски, тут меня посетила мысль. Раз на работе у меня Windows 10 Pro то почему бы не реализовать такое

  • Создаю виртуальный диск (vhd-файл)
  • Зашифровываю его через BitLocker
  • Устанавливаю OwnCloud Client for Windows 10 Pro + подключаю аккаунт на котором будут мои наработки, а хранение файлов организовано на созданном виртуальном диске.
  • Т.е. я работаю весь день а по уходу просто запускаю скрипт которым отключаю виртуальный диск, клиент OwnCloud разрывает соединение доступ к ним (наработкам) никто на работе не получит.
  • Все это дело обернуто скриптом.

Ниже моя рабочая реализация задуманного.

Шаг №1: Создаю файл виртуального диска на своей офисной системе под управлением Windows 10 Pro, на ней я авторизован как обычный пользователь не имеющий прав администратора:

Win + X – Панель управления – Администрирование – через правый клик мышью на "Управление компьютером" выбираю "Запуск от имени администратор", указываю свою административную учетную запись – Управление компьютером (Локальным) - Запоминающие устройства - Управление дисками - Действие – Создать виртуальный жесткий диск

  • Расположение: C:\Soft\owncloud.vhd
  • Размер виртуального жесткого диска: 2 Гб
  • Формат виртуального жесткого диска: VHD
  • Тип виртуального жесткого диска: Фиксированный размер (Рекомендуется)
  • Затем через оснастку «Управление дисками» инициализирую диск, указываю применяю таблицу разделов (мне хватит и MBR), создаю простой том, назначаю букву (к примеру W:), файловая система NTFS

Шаг №2: Включаю Bitlocker на созданном томе:

Win + X – Проводник – Этот компьютер – и через правый клик мышью на томе W: выбираю "Включить Bitlocker"

  • Использовать пароль для снятия блокировки диска: отмечаю галочкой
  • Введите свой пароль: <парольная фраза>
  • Введите пароль еще раз: <парольная фраза>

и нажимаю "Далее", затем

Как вы хотите архивировать свой ключ восстановления?: указываю "Сохранить в файл"

Сохраняю ключ восстановления в каталог со своими наработками, к примеру: tips_firma\tips_bitlocker

  • Имя файла: Ключ восстановления BitLocker DA4D5OUE-C6E7-4F07-B5F0-8E1CEC083481.TXT
  • Тип файла: Текстовый файлы (*.txt)

и нажимаю "Сохранить"

На заметку: Ключ восстановления нельзя сохранить на шифрованный диск, я его сохраняю в папку где у меня наработки.

Затем мастер спрашивает "Укажите, как часть диска требуется зашифровать": отмечаю "Шифровать весь диск (выполняется медленнее, подходит для уже используемых ПК и дисков)"

Затем мастер спрашивает "Выбрать режим шифрования для использования": отмечаю "Режим совместимости (оптимально для дисков, которые могу быть перемещены с этого устройства)"

Затем мастер спрашиваем "Зашифровать этот диск?": нажимаю "Начать шифрование"

и выполняется шифрование моего виртуального диска W:

Выполняется шифрование виртуального диска W:

Шаг №3: Моя первая версия скрипта посредством которого я запускаю его на рабочей системе через правый клик мышью по нему, если я не администратор на компьютере то указываю логин и и пароль свой административной учетной записи, далее выбираю 1 – это Mount2 – это Unmount, а все остальное скрипт завершается. Если я выбрал 1 то монтируется vhd файл, и совершается процедура разблокировки тома Bitlocker путем ввода парольной фразы на том.

1234567891011121314151617181920@echo offrem RUN SCRIPT FOR “Run as Administrator”set /p input=”Insert (1) Mount and (0) Dismount owncloud.vhd: ” if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: ) else ( echo “Ne 1 i ne 2”)

Шаг №4: Запускаю созданный скрипт omount.bat с рабочего стола через правый клик мышью по нему и выбрав "Запуск от имени администратора", в вожу административные данные, затем указав "1" что нужно смонтировать виртуальный диск указываю пароль для разблокировки этого тома:

Скрипт запрашивает, подключить или отключить, подключаю и ввожу парольную фразу

Результат смонтированного vhd файла и разблокировки этого тома:

Результат смонтированного vhd файла и разблокировки этого тома:

Шаг №5: Если нужно отключить том, что повторяю все заново, но после набираю цифру 2 для разблокировки и том W: успешно пропадает.

Шаг №6: Устанавливаю на свою рабочую станцию клиент OwnCloud client (https://download.owncloud.com/desktop/stable/ownCloud-2.6.1.13407.13049.msi)

Шаг №7: Настраиваю клиент на свой сервис OwnCloud 10 который у меня:

  • посредством туннеля openvpn доступен, если внешний IP-серый
  • посредством CNAME-записи, если внешний IP-динамический

Шаг №8: Пока я на работе, у меня виртуальный диск смонтирован и клиент OwnCloud синхронизирует изменения с сервером, уходя с работы на скрипте через правый клик мышью выбираю 2 и диск отключается, а клиент OwnCloud более не синхронизирует, т.к. каталог на который он настроен нету.

Пока данный вариант очень удобен.

от 27.07.2020 (Новая версия скрипта)

123456789101112131415161718192021222324252627@echo offrem RUN SCRIPT FOR “Run as Administrator”set /p input=”Insert (1) Mount and (0) Dismount owncloud.vhd: ” if %input% == 1 ( echo %input% “%ProgramFiles(x86)%\ownCloud\owncloud.exe” echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password timeout 10 icacls W:\owncloud /inheritance:d icacls W:\owncloud “NT AUTHORITY\СИСТЕМА”:(OI)(CI)(F) icacls W:\owncloud /grant “BUILTIN\Администраторы”:(OI)(CI)(F) icacls W:\owncloud /grant “POLYGON\AOllo”:(OI)(CI)(F)) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: taskkill /F /IM “owncloud.exe” ) else ( echo “Ne 1 i ne 2”)

От 26.08.2020 (Новая версия скрипта)

Если указана строка set /p input="Insert (1) Mount and (0) Dismount owncloud.vhd: " то после скрипт закрывается, правильнее после символа равенства указать пробел, будет вот так:

1234567891011121314151617181920@echo offrem RUN SCRIPT FOR “Run as Administrator”rem NB: пространство после ‘=’ очень важноset /P input= “Insert (1) Mount and (0) Dismount owncloud.vhd: “if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: ) else ( echo “Ne 1 i ne 2”)

От 22.10.2020

Доработанный скрипт:

12345678910111213141516171819202122232425262728@echo offrem RUN SCRIPT FOR “Run as Administrator”rem NB: пространство после ‘=’ очень важноset /P input= “Insert (1) Mount and (0) Dismount owncloud.vhd: “if %input% == 1 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo attach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt rem Enter password for Tom W: (security Bitlocker) manage-bde -unlock w: -Password timeout 10 icacls W:\owncloud /inheritance:d icacls W:\owncloud “NT AUTHORITY\СИСТЕМА:(OI)(CI)(F)” icacls W:\owncloud /grant “BUILTIN\Администраторы:(OI)(CI)(F)” rem Local Admin for Computer icacls W:\owncloud /grant “BUILTIN\ekzorchik:(OI)(CI)(F)” icacls W:\owncloud /grant “AMILUX\AOllo:(OI)(CI)(F)”) else if %input% == 0 ( echo %input% echo select vdisk file=”%systemdrive%\Soft\owncloud.vhd” > c:\soft\owncloud.txt echo detach vdisk >> c:\soft\owncloud.txt diskpart /s c:\soft\owncloud.txt manage-bde -lock w: pause) else ( echo “Ne 1 i ne 2”)

На этом заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.

a.boyko 0 Коментарі