Как обеспечить блокировку рабочей станции при выходе? Это важно?

Основными рисками в реальном мире являются ваши коллеги, которые "козят" вас. Вы можете применить это, установив групповую политику для запуска заставки через X минут, что также может заблокировать компьютер.

В моей организации (правительство), да. Мы имеем дело с конфиденциальными данными (медицинские и SSN). Для меня это инстинктивно: Windows+L каждый раз, когда я ухожу.

Политика является как социальной, так и технической. Что касается социальной стороны, нам напоминают, что личная безопасность важна, и каждый знает о данных, которыми мы владеем. С технической стороны рабочие станции используют групповую политику, которая включает экранную заставку через 2 минуты с включенным "При возобновлении, защитой паролем" (и не может быть отключено).

Раньше я работал на очень большой корпорации, где рабочая станция требовала, чтобы ваш значок был вставлен в нее для работы. Вам не разрешалось двигаться по зданию (вам все равно нужен значок, чтобы открыть двери) без этого значка. При извлечении значка из устройства чтения смарт-карт рабочей станции вы автоматически вышли из системы.

Не по теме, но даже аккуратнее, рабочие станции были больше похожи на "сетевые станции" (обратите внимание, что не обязательно использовать систему, которую я только что описал), и значок содержал вашу сессию. Вставьте его на другую рабочую станцию ​​в другом здании, и вот ваш сеанс, как вы его покинули, когда перетаскивали значок на другом компьютере.

Таким образом, они в основном решили эту проблему, физически вынудив людей выйти из своей рабочей станции, что, я думаю, является наилучшим способом применения любой политики безопасности. Люди забывают, это человеческая природа.

Нет, но я организация 1 - в последний раз, когда я работал в большой организации, мы не были обязаны, но поощрялись. Если бы я был в окружении с другими людьми, я бы, вероятно, заблокировал свою рабочую станцию ​​сейчас, когда я покинул ее. Конечно, люди с физическим доступом могут добавлять аппаратные кейлоггеры, но блокировка добавляет дополнительный уровень безопасности. Я думаю, что в зависимости от типа вашей организации риски скорее связаны с отслеживанием внутри организации, чем с проводными атаками.

Блокировка вашей рабочей станции каждый раз, когда вы идете за кофе, означает, что вы вводите свой пароль 10 раз в день, а не один раз. И все вокруг могут видеть, как вы печатаете это. И когда у них есть этот пароль, они могут выдавать себя за вас с удаленных компьютеров, что гораздо сложнее доказать, чем использовать ваш компьютер в офисе, когда все смотрят. Так что, безусловно, блокировка вашей рабочей станции на самом деле представляет большую угрозу безопасности?

Единственное место, которое я видел, где это действительно важно, - это государственные, оборонные и медицинские учреждения. Лучший способ обеспечить это - использовать пользовательские политики в Windows и "точечные файлы" в системах Unix, где заставка и тайм-аут заранее выбираются для вас, когда вы входите в систему, и вам не разрешено их изменять.

Мы объединяем социальные и технические методы, чтобы побудить ИТ-специалистов блокировать свои ПК: стандартные заставки / настройки блокировки экрана и угроза кражи. (Последнее место, где я работал, на самом деле заблокировал настройки заставки.)

Следует иметь в виду, что если у вас есть приложения (особенно если они являются SSO), которые отслеживают активность, изменения или и то, и другое, собираемые вами данные могут быть менее ценными, если вы не уверены, что пользователь, записанный в них, пользователь, который фактически сделал эти изменения.

Даже в такой компании, как наша, где не так много конфиденциальной информации, имеющей отношение к компании, доступно большинству пользователей, у кого-то наверняка есть возможность получить данные NBR от другого сотрудника через незаблокированную рабочую станцию. Сколько людей сохраняют пароли к веб-сайтам на своем компьютере? Amazon? Фэнтези-футбол? (Опасная техника игры в козлы: выкинуть ключевого игрока из чужого списка. Это действительно забавно, только если с вами замешан комикс, так что игрок может быть восстановлен...)

Еще одна вещь, которую стоит учесть, это то, что вы не можете быть уверены, что все в вашем здании принадлежат вам. Гораздо проще взломать сеть, если вы на самом деле находитесь в здании: конечно, подавляющее большинство людей в здании присутствуют, потому что им позволено, но вы действительно не хотите становиться жертвой компании, когда этот один парень из миллиона попадает в здание. (Это даже не обязательно должен быть преднамеренно плохой парень: это может быть чей-то ребенок, друг, родственник...) Конечно, сотрудник, который впустил этого человека, мог также позволить этому человеку использовать свой компьютер, но такого рода атаки гораздо сложнее остановить.

Я использую Pageant, и мой SSH-открытый ключ распределен по всем серверам здесь. Тот, кто садится на мою рабочую станцию, может в основном войти в любую учетную запись везде с моими ключами.

Поэтому я всегда блокирую свою машину, даже на перерыв 30-х годов. (Windows-L - это, по сути, единственный ярлык на основе Windows-ключа, который я знаю.)

Я никогда не блокирую свою рабочую станцию.

Когда мой коллега и друг насмехались надо мной и собирались посылать смущающие электронные письма с моей машины, я высмеивал его в ответ на мысль, что блокировка делает НИЧЕГО, когда у меня есть физический доступ к его машине, и я связал его с этим URL:

http://www.google.com/search?hl=en&q=USB+keylogger

Я не работаю с какими-либо конфиденциальными данными, к которым мои коллеги уже не имели бы равного доступа, но я сомневаюсь в эффективности блокировки рабочих станций для определенного коллеги, снисходительного.

редактировать: причина, по которой я не блокирую, заключается в том, что я привык, но это продолжало создавать странные нестабильности в окнах. Я перезагружаюсь только по требованию, поэтому я ожидаю, что моя машина будет работать месяцами, не становясь нестабильной и мешая блокировке.

Гоутинг может тебя уволить, поэтому я не рекомендую этого делать. Однако, если это не тот случай, когда вы работаете, это может быть эффективным, даже если это просто обширное электронное письмо с надписью: "Я всегда буду блокировать свою рабочую станцию".

По крайней мере, машины должны блокироваться после X минут бездействия, и это должно быть установлено с помощью групповой политики.

Безопасность заключается в том, чтобы поднять планку, приложив больше усилий, необходимых для выполнения чего-то плохого. Не блокировка вашей рабочей станции вообще опускает эту планку.

Это важно или это хорошая привычка? Блокировка вашего компьютера, возможно, не важна, скажем, в вашем собственном доме, но если вы находитесь в офисе клиента и уходите, то я бы сказал, что это важно.

Что касается того, как обеспечить...

После прочтения записи в блоге Джеффа " Не забывайте блокировать свой компьютер"; Мне нравится менять фон рабочего стола коллеги на...

https://moretalk.files.wordpress.com/2009/11/pettitte-goat.jpg
1238 × 929 пикселей

Излишне говорить, что сотрудники начали блокировать свои компьютеры.

Лично я считаю, что риск низок, но, по моему опыту, большую часть времени это не вопрос мнения - это часто требование для крупных корпоративных или государственных клиентов, которые на самом деле приходят и проверяют вашу безопасность. В этом случае лучше всего подойдет какое-то техническое решение (групповая политика), потому что вы можете доказать, что выполняете это требование. Я также сделал бы это в случаях, когда есть законное требование конфиденциальности (как медицинские данные и HIPAA.)

Я работал в месте, где люди, которые поставляли часть нашего оборудования, были из компании, которая напрямую конкурирует с нами. Они находились в здании, когда оборудование требовало технического обслуживания. Время от времени будет отправляться электронное письмо, в котором будет сказано, что они будут там, пожалуйста, заблокируйте свою машину, когда у вас ее нет. Если конкурент получил наш источник, потому что разработчик забыл заблокировать свою машину, разработчик будет искать новую работу.

GateKeeper - простое решение для этого. Он блокирует рабочую станцию ​​автоматически, когда пользователь уходит, и автоматически разблокируется, когда пользователь возвращается в зону действия компьютера. Также может потребоваться двухфакторная аутентификация и другие методы блокировки / разблокировки.

В том месте, где я работал, была политика блокировки вашей рабочей станции. Они принудили его, настроив общедоступный список рассылки компании - если вы оставили свою рабочую станцию ​​незапертой, ваши коллеги отправили бы неудобное письмо в список из вашей учетной записи, а затем заблокировали ваш компьютер. Это было довольно забавно, а также немного раздражало, но в целом это работало.

Вы можете настроить простой надежный способ, подключить считыватель отпечатков пальцев к компьютеру, запрограммированному на ваш пароль, затем надеть это ожерелье на USB-приемник, и если вы отойдете от рабочей станции, экранная заставка активно заблокирует его, а затем, когда вы появиться в пределах диапазона, проведите пальцем по сканеру отпечатков пальцев, чтобы разблокировать рабочую станцию ​​- я думаю, что это был бы довольно дешевый способ сделать это, простой, ненавязчивый и без помех, не забывая блокировать через "WinKey+L"

Надеюсь, это поможет, С наилучшими пожеланиями, Том.

Вы могли бы начать сидеть на рабочих местах людей и загружать [вставьте здесь что-нибудь плохое] сразу после того, как они уйдут. Это будет работать, я уверен.

Мы обязаны на работе, и мы соблюдаем это сами. Массовые чаты начинают исповедовать любовь к людям, отправляются электронные письма, меняются фоны и т. Д. Должен любить первый день, когда это происходит с новым сотрудником, каждый обязательно оставит приятную записку:)

Владелец моей компании (и разработчик) внесет незначительные изменения в окно вашего кода, если вы оставите свой компьютер незапертым, заставляя вас сходить с ума от удивления, почему ваш код не работает, пока вы его не найдете.

Должен сказать, я никогда не держу свой компьютер разблокированным после того, как услышал об этой шутке, я схожу с ума, как это происходит с некоторыми из моего кода.

В некоторых / большинстве государственных учреждений, которые я посетил, у которых есть возможность, чтобы представители общественности ходили по улицам, у них есть смарт-карты, которые подключаются к USB-ридеру на ПК. Карта находится на ожерелье вокруг шеи пользователя и блокирует рабочую станцию, когда она удалена.