Общий доступ к USB для студентов: установите пароль только для записи

Я школьный учитель, и я хотел бы обмениваться файлами на USB-накопителе между учащимися, а также между различными ОС.

В частности, я хотел бы установить пароль для записи / изменения, в то время как содержимое USB может быть доступно для чтения каждому. Это для предотвращения распространения вредоносных программ.

Является ли это возможным?

Поскольку этот диск будет использоваться в системах, которые вы не контролируете, или которые не являются Linux и не поддерживают схему разрешений Linux, вам немного не повезло.

Тем не менее, нет никакого реального способа защиты паролем, который вы ищете на диске, без специального оборудования, и это обычно не является экономически эффективным решением (как подробно описано ниже).

Обратите внимание, что я специалист по информационной безопасности, поэтому, если мне кажется, что я унизил или оскорбил мое сообщение и ответ здесь, я не имею в виду это так, я просто гиперкритичен, когда речь заходит о безопасности, так как моя работа заключается в том, чтобы путь.

(Прокрутите вниз до раздела «Если вам действительно нужен безопасный способ для совместного использования флэш-накопителя…» ниже, если вы не хотите слышать мою рассуждения обо всех угрозах безопасности, которые вы представляете.)

Правило безопасности системы 0: НИКОГДА не делитесь с USB-накопителями, если хотите ограничить риск вредоносного ПО!

Я говорю, что это правило 0, но это действительно правило 0B - правило 0A касается физического доступа к системам.

Проще говоря, это серьезная угроза безопасности. Пытаясь использовать USB для распространения данных, вы сразу же рискуете не иметь возможности контролировать, будет ли вредоносное ПО помещено на карту памяти или нет. Это частично обходит USB-флешки с переключателем блокировки только для чтения, например, Kanguru FlashTrust 3.0 , но их можно легко превратить в чтение / запись, щелкнув переключатель.

Как специалист по безопасности, я настоятельно рекомендую вам предоставить альтернативный метод без использования USB-накопителя для доступа к элементам вашего класса , таким как учетная запись Box или файлы, размещенные на сайте в веб-пространстве вашего учебного заведения.

Другой альтернативой является полностью записанный, полностью заблокированный CD / DVD, который будет работать точно так же, и поскольку он будет полностью записан и не будет иметь дополнительного открытого пространства, когда вы полностью заблокируете устройство, диск уже будет считаться доступным только для чтения. Если вам не нужно обмениваться большими файлами, однако, в этом случае опция DVD может не работать. Однако все больше и больше устройств выпускаются на рынок без CD / DVD-приводов, что означает, что это не самое идеальное решение.

Я также готов поспорить, что, распространяя эту флешку, вы нарушаете несколько правил, касающихся «авторизованных устройств» в компьютерных системах вашей школы, но я не могу об этом говорить.

Если вы действительно хотите безопасный способ обмена флэш-накопителем ...

... вы начинаете погружаться в мир очень дорогого оборудования, такого как Apricorn Aegis SecureKey 3, который представляет собой аппаратно зашифрованный флэш-накопитель, который позволяет вам устанавливать код доступа для режима администратора, но также предоставляет пользовательские коды доступа только для чтения в качестве вторичных кодов на Устройство. Таким образом, диск заблокирован в режиме только для чтения для не-администраторов и в режиме чтения / записи для пользователя с кодом администратора.

Проблема в том, что это дорого - 129 долларов США за всего лишь защищенную карту памяти емкостью 16 ГБ - это в основном связано со стоимостью аппаратно зашифрованных устройств (но устройства, подобные этим, рассчитаны на очень особый набор потенциальных вариантов использования и как таковые доступность более дешевой продукции равна нулю из-за отсутствия отраслевого спроса). Так что обычно это не рентабельный вариант, особенно если вы не доверяете своим студентам.

В конечном счете, однако, на самом деле не существует простого, не затратного или экономически эффективного способа достижения того, что вы хотите, с помощью простого USB-накопителя, с сохранением кросс-совместимости ОС, и даже тогда вы не можете гарантировать безопасность.

Проблема в том, что много разных ОС используются и работают. Даже если операционные системы не были важны, любой пользователь, обладающий rootмощью, мог бы предоставить себе доступ, если бы это была отформатированная флешка Linux с установленными разрешениями Linux. Просто нет способа обеспечить безопасность USB-накопителя с помощью бесплатных или недорогих решений.

Однако это один из немногих случаев в мире, когда совместное использование через облако (Dropbox, Google Docs, Box, даже экземпляр OwnCloud) является подходящим решением, поскольку нет риска заражения вредоносным ПО только при загрузке файла (если только сам файл является вредоносным). (И вероятность того, что один из вышеупомянутых облачных сервисов заражен таким вредоносным ПО, от которого вы пытаетесь защититься, чрезвычайно мала)

Поделитесь CD или DVD диском.

Записываемые диски действительно дешевые. Диски тоже дешевые. Купите внешний USB DVD-рекордер менее чем за 30 долларов США, он будет работать на любом современном компьютере, и вы можете одолжить его студентам, у которых нет собственного привода.

Все, кроме дорогих дисков, предназначены для однократной записи, поэтому данные, которые вы записываете на диск, не могут быть перезаписаны. Вы должны убедиться, что вы записываете диск на полную емкость, иначе файловая система на диске может быть изменена или заменена путем записи большего количества данных в пустые области. Даже если вы оставите пустое место, на оптическом диске будет распространяться меньше вредоносных программ, чем на флэш-накопителе.

Недостатком этого является то, что если вы хотите обмениваться данными, которые больше, чем умещаются на нескольких дисках (записываемый DVD имеет около 4 гигабайт), то флэш-накопитель большой емкости гораздо удобнее, чем множество дисков. Я не ожидаю, что это применимо в вашем случае, хотя.

Совместное использование физического носителя - ужасная идея с точки зрения безопасности. Даже если вы используете компакт-диск только для чтения, ваши учащиеся могут просто купить чистый компакт-диск той же марки и написать на нем оригинальный контент + вредоносное ПО. Чтобы предотвратить это, вам нужно будет подписать, поставить печать или иным образом сделать свой носитель уникальным, и в идеале ваши ученики должны принимать его только от ваших рук, а не друг от друга. В противном случае оригинальные носители могли бы распространяться среди одной группы студентов (и вас), в то время как поддельные носители передавались бы другой группе.

Подобный трюк может быть использован на зашифрованных дисках с паролем, доступным только для чтения: один из учащихся может сохранить образ диска, написать зараженный образ с тем же паролем, доступным только для чтения, и распространить диск среди остальных. Исходное изображение может быть восстановлено до того, как диск будет возвращен вам.

Чтобы предотвратить такие угрозы, ваши ученики должны будут получить цифровую подпись оригинальных данных из другого места, например, со школьного сервера, и знать, как их проверить. Действительно, было бы гораздо проще хранить файлы, которыми вы хотите поделиться, на сервере, где вы бы хранили подпись, что делало бы процесс обмена таким же простым, как предоставление вашим студентам ссылки на скачивание.

Люди уже ответили на ваш буквальный вопрос. Позвольте мне попытаться нанести удар по реальной проблеме.

Я предполагаю, что у вас есть интернет-ограничения, которые мешают вам загружать файлы.

В этом случае вы можете предоставить изображение ( .isoфайл) на USB-накопителе, а затем попросить студентов запустить sha256sumфайл и проверить его хеш-код на тот, который вы предоставили другим способом, прежде чем открывать файл.

Те, кто сотрудничают и не делают ничего другого, не должны заразиться вирусом.

почему бы вам просто не загрузить материал на какой-либо сайт и не поделиться им с паролем?

если вы находитесь в той же сети, сделайте это локальным сайтом, в противном случае бесплатные сайты загрузки много