ユーザーにUSBトークンの削除を強制する

メッセージの表示中にUSBがマウントされている場合、起動スクリプトがマウントされたUSBをチェックし、wifi /ネットワークをブロックする可能性があるようです。

簡単なポーリング機能で、接続された新しいUSBをチェックできます。

これはすべてPowershellで可能です。

これにより、USBがマウントされているという問題が解決され、ラップトップを使用する前にユーザーを強制的にイジェクトさせることができます。 T 彼は問題を解決しませんユーザーが後でUSBで行うことの。ユーザーがラップトップの使用を開始するために電源プラグを抜いて、ふたを閉じたらUSBを「格納する」ために再び差し込むことは容易に想像できます。

これは最も良い方法ではないかもしれませんし、私がそれを支持しているとは言えませんが、実際に使用されているのを見てきました。

夜間にセキュリティガードがパトロールし、コンピューターに接続されているUSBキーまたはトークンを持ち込んで、セキュリティインシデントを埋めることができます。翌日、ユーザーがUSBのものを取りに行くと、公式の懲戒が行われます。彼らがそうしない場合、彼らは彼らが行方不明のものに気づいたり報告したりしなかったので、彼らはより強い叱責を受けます。懲戒が給料に反映されないようにするか、あまりにも多くの懲戒で従業員を解雇してください。

実施すれば、このポリシーは非常に不人気になりますが、効果的です。

編集：オンプレミスではないモバイルユーザー向けのシナリオであるというコメントを追加しました。この場合、私の提案は適用できません。自分の敷地にセキュリティポリシーを適用しようとする他のユーザーにとっても役立つ可能性があるので、私はまだ回答を残しておきます。

私はそれほど技術的ではありませんが、これは可能だと思われます。

USBキーは、列挙への応答や、キーを検証するためのAPIを介した要求への応答など、特定の処理を実行している必要があります。最初の質問は、それらを使用できるかどうかです。その可能性については、テクニカルドキュメントを確認する必要がある場合があります。

• デバイスが会社所有であるがモバイルの場合、これをテストするスクリプトをインストールできます。最初の検証が受け入れられてから2分以上デバイスが列挙または応答し続けると、検証/アクセスが終了します。これにより、ユーザーはキーを自動的に削除する習慣を身に付けることができるはずです。そうしないと、デバイスは機能しなくなります。

• 一部のデバイスがBYO（独自のものを持ってくる）の場合なら、それはより困難です。おそらく、アクセス方法またはキー自体が、何らかの目的の検証を許可しますが、これは再利用できます（数分を超えて継続的なアクセスがある場合は、終了します）。必要に応じて、これを可能にするタイプのキーを購入します。

• サーバー側または一方的に操作されるチェックが不可能で、サーバー側でUSBキーのステータスをチェックすることができない場合の場合、クライアント側のソフトウェア/スクリプトにフォールバックする必要があります。ユーザーが自分のデバイスを持ち込みたい場合、これに関するポリシーがよくあります。場合によっては、会社によっては、ユーザーが使用したい場合は、会社提供のスクリプト/ソフトウェア/ VPN /証明書/何でも実行またはインストールする必要があります会社のネットワーク上の独自のデバイスなので、これはおそらく許容できるオプションです。

このUSBトークンだけでラップトップを保護していると思いますか？

これは2要素の承認状況です。 2FAは、これまでにコンセプトを満たしていない人のために、「知っているもの、持っているもの」と表現されています。 USBドングルは「持っているもの」ですが、ラップトップはまだ「知っているもの」、つまりパスワードによって保護されています。 2FAは、1つの要素が冗長になるようにするレイヤーを追加することを目的としているため、ユーザーがパスワードを書き留めていない限り、攻撃者がセキュリティトークンを取得してもシステムが安全でなくなることはありません。もちろん、セキュリティの一端を壊さない方が良いですが、ラップトップは安全であれば安全です。

ユーザーにキーの削除を強制するためにも、大きな問題があります。ラップトップのセキュリティ保護は、ユーザーがぶらぶらしているローカルファイルを保護するために後から考えられます。これは、企業データの小さなサブセットです。 非常に重要の部分は、ネットワークへのユーザーのアクセスを保護することです。ネットワーク、特にVPNは、ログインセキュリティと同じくらい優れています。したがって、セキュリティに懸念がある場合、VPNは、ユーザーがVPNにログインするときにBitlockerトークンが存在することを確認する必要があります、そのログイン中にマシンを離れることはありません。セッション。そうしないと、ユーザーがふたを閉じてコンピューターがシャットダウンされたと思ったときに、ユーザーが誤ってログインしたままになっているか、さまざまな同様のシナリオが考えられます。 「彼らは過去のある時点でOKでログインしたので、それでもマシンを使用している」と仮定することはできません。

つまり、1つの領域を考えすぎて、それが企業のデータセキュリティにどのように役立つかという全体像を考慮していないと思います。

もちろん、USBドングルの最も簡単な答えは、家の鍵または車の鍵を持つユーザーの鍵リングに住んでいると主張することです。複数のキーリング？問題ありません-ドングルは必要な数だけ持つことができます。ただし、家に帰るにはキーリングが必要なため、ユーザーがノートパソコンを離れると、ドングルは常にラップトップから削除されます。

私は製造技術の世界出身で、小さな治具を使用して品質と安全性の両方に対して特定の手動の動作を強制することは、標準的に受け入れられている方法です。特定の障害を配置することによって人間の行動を設計することはできないという見方には同意しません。これは人間の安全のために行われ、ネットワークセキュリティと同じくらい真剣に受け止められます。一般的なアプローチの1つは Poka-Yoke を使用することですが、- interlocks と dead man's switch も表示されます。

課題は、これらの概念をセキュリティにどのように適応させるかです。信頼できる方法でこれを回避するようにコーディングするのは難しいだろうと私は同意しますが、ハードウェア開発を含めるように視野を広げれば、それは確かに達成可能です。

あなたやあなたの雇用者にとって重要な場合は、この動作を強制するカスタムドングルを設計できます。1つのアプローチは、電力が供給されている一定時間後にドングルが自動的に無効になる時間制限カットオフです。再接続が必要です。

ラップトップユーザーとポリシーをある程度管理しているが、警察を使いたくない場合は、セキュリティポリシーへの準拠を促進するために他の障害をいくつも採用することができます。

もちろん、進取的なユーザーにとってはこれは迂回できるので、顧客に販売するセキュリティ製品を設計する場合は十分ではありません。

しかし、同僚によるエンジニアリング制御をバイパスすることはポリシー/手順に反し、懲戒または警告の対象となるため、ポカヨークとの類似性が適切であると私は信じています。

USBを多目的にしてPCに置いたままにすることはできません。たとえば、仕事を始めるには、別のデバイスに接続する必要があります。あなたが彼らがいつ仕事に来るかを知りたいと言うことができ、彼らの就業日の開始はこの2番目のデバイスに接続しているUSBによってマークされます。

これはすべてのケースに当てはまるわけではありませんが、誰かに良いアイデアを与えることを期待して書いています。