ระบบรักษาความปลอดภัยในเครื่องที่ผมใช้

DSC_6603

เครื่องโน๊ตบุ๊ค Lenovo/IBM ThinkPad ที่ผมใช้มา 3 เครื่องนั้นสามารถตั้งรหัสผ่านก่อนที่จะเข้าสู่ OS Mode อยู่ 3 ส่วนคือ

image Power On Password (POP)

image Hard Disk Password (HDP)

image Supervisor Password (SVP)

โดยทั้ง 3 ส่วนนั้นรหัสผ่านถูกเก็บรักษาและหรือ Encrytion Key อยู่บน Trusted Platform Module (TPM) โดยในปัจจุบัน เครื่องที่ผมใช้คือ ThinkPad T420 นั้นมาตรฐาน TCG Ver.1.2 Compliant chip (ผมไม่รู้ขั้นตอนแน่ชัดในการเก็บว่ามันเก็บแค่ Key หรือเก็บ Passphrase ทั้งหมด)

image
รูปจาก tabletkiosk.com

เพราะฉะนั้นถ้าผมดันไปลืมรหัสผ่านทั้ง 3 ตัวด้านบน หรือมีคนพยายามเข้าสู่เครื่องผมจะไม่สามารถใช้การ reset ด้วยวิธีเอา Backup Battery บน M/B ออกและใส่กลับไปใหม่ได้ เพราะรหัสนั้นอยู่บน Trusted Platform Module (TPM) โดยเป็น chip ที่สามารถคงสภาพรหัสไว้ได้แม้จะไม่มีไฟฟ้าเลี้ยงอยู่เลย ถ้าลืมก็มีอย่างเดียวคือเปลี่ยน M/B ในกรณีที่ลืม Power On Password (POP) หรือ Supervisor Password (SVP) และเปลี่ยน HDD ในกรณีที่ลืม Hard Disk Password (HDP) กันไปเลย

ส่วนวิธีใต้ดินในการ Hard Reset ตัว Trusted Platform Module (TPM) ก็มีให้เห็นอยู่บ้าง แต่ใช้ไม่ได้กับทุกๆ System เพราะฉะนั้นก็ต้องเสี่ยงดวงเอากันเอง (มีคนทำได้แต่รุ่นเก่าๆ เมื่อ 3-4 ปีก่อน ยังไม่เห็นรุ่นใหม่ๆ ทำได้ แต่ในอนาคตไม่แน่)

เมื่อผ่าน 2 รหัสผ่านด้านบนได้ (อีก 1 ตัวคือ SVP เป็นรหัสจัดการ BIOS และระบบอื่นๆ เป็นหลัก ไม่ค่อยได้ใช้) ก็มาถึงตอนเข้า OS กัน ส่วนตัวแล้วใช้ Windows 7 และใช้ Biometric Device ในส่วนของ Fringerprint ในการเข้าระบบ โดยผมตั้งให้มัน override ตัวรหัสผ่าน 2 ตัวก่อนหน้านี้ทั้งหมด ถ้าผมเปิดเครื่องผ่านการแสกนลายนิ้วมือผมได้ และเมื่อเข้าถึง Windows 7 ก็ให้ login เข้าตัว Windows ผ่านไปได้เลย ไม่งั้นผมต้องใส่รหัสผ่านทั้งหมด 3 ครั้ง Power On Password, Hard Disk Password และ Windows Authentication

2011-12-30_102139

เข้าใช้งานได้ ตัวที่รักษาความปลอดภัยระหว่างทำงานตลอดเวลาป้องกัน การติด Malware ก็คือ Norton AntiVirus 2012 ตัวนี้ เมื่อก่อนผมว่าใช้ ESET NOD32 แต่เพิ่งเปลี่ยนมาใช้ได้ไม่นาน เพราะเบากว่า กินทรัพยากรน้อยกว่า และมีระบบตรวจจับรุ่นใหม่ที่ทันสมัยกว่า รวมไปถึงมี Feature ที่คุ้มค่าตัวอีกด้วย

2011-12-30_102235

เมื่อป้องกัน Realtime ในส่วนของ Process แล้ว ก็มีป้องกันส่วนของ Network กัน ส่วนตัวแล้วใช้ COMODO Firewall เป็นหลักในการป้องกัน เมื่อช่วงแรกๆ ที่ใช้ Windows 7 ผมจะใช้ Windows Firewall with Advanced Security แต่มาตอนหลังผมกลับมาใช้ COMODO Firewall อีกครั้ง เพราะชินกับตัวนี้มากกว่า และก็ป้องกันได้ดีในระดับที่น่าพอใจอีกด้วย

2011-12-30_102254

สุดท้าย ก็เป็นระบบ AutoLock ของ ThinkPad เอง

เป็นการใช้ Webcam ที่มีอยู่ในทุกๆ เครื่อของ ThinkPad ในปัจจุบันมาทำการตรวจสอบว่ามีผู้ใช้งานอยู่ที่หน้าเครื่องตามเวลาที่กำหนดหรือไม่ โดยมันจะเปิด Webcam แอบมองโดยใช้ Face Detection ในการตรวจสอบ ถ้าในระยะเวลาที่ตั้ง Keyboard/Mouse ไม่ได้ถูกใช้งาน จะเปิด Webcam ตรวจสอบ ถ้ามีคนอยู่มันจะไม่ Lock เครื่อง แต่ถ้าไม่มีคนอยู่ ก็จะทำการ Lock เครื่องให้ทันที แทนที่จะรอให้ Screensaver Password ทำงานตามเวลาที่กำหนดไว้ตายตั ก็ทำงานตัดหน้าก่อนไปเลยนั้นเอง

2011-12-30_102044

ดูเหมือนเยอะ แต่ถ้าข้อมูลคุณสำคัญก็แนะนำให้ทำไว้ครับ จริงๆ ถ้าทำ Full Encrytion จะเยอะกว่านี้อีกนะ แต่นี่ยังไม่ได้ทำทั้งหมด เหลืออีกหลายส่วน และคิดว่าคงไม่ทำ เพราะมันทำให้ OS/HW ช้าลงไปอีก เอาแค่นี้ก็เพียงพอสำหรับผมแล้ว ;)