web-dev-qa-db-ja.com

ほとんどのコンピューターがポータブルである企業のITシステムを保護するための可能なアプローチと議論は何ですか?

私は、コンピューターの半分が自宅での仕事、出張、クライアントの訪問などのために持ち去られ、社内ネットワークに接続されている間、事実上すべてにアクセスできる会社で唯一のシステム管理者として採用されました。

そして、コンピューターのほとんどのユーザーは、デスクトップでさえ、管理者です。 Windowsワークグループでは、ActiveDirectory /ドメインコントローラーはありません。

  • 更新:35以上のWindows 7、XP、Vistaワークステーションおよび2つのWindows 2003サーバー、1つはターミナルサービス(すべての会計アプリケーションにサービスを提供)用に実行、もう1つWindows 2003 Serverは、インターネットからのWebサイト/ポータルおよび外部アクセス用です。オフィス(内部ネットワーク)は2つの主要な場所(1つはメインオフィス、もう1つは別の都市の施設を生産しています)に分散しており、メインオフィスにはWiFi経由で通信できる2つの建物があります。
    従業員(売り手、会計士、弁護士)は、オフィスにいる間、ポータブルコンピューターを内部ケーブルネットワークに接続します
    私の質問の特定の状況に関する情報を参照してください 以前のシステム管理者が企業のITセキュリティを危険にさらしていないことを確認する方法は?[クローズ]
    更新終了

そのようなIT企業インフラストラクチャを保護/再編成するための最も緊急の最初のステップと、トップマネジメントに必要性を納得させるための議論は何ですか?

アクセスする必要のあるデータの種類に基づいて制限します。

ローカルに情報を保存する必要がありますか?もしそうなら、どのようなデータですか? SS#、CCなどの機密データを処理する場合は、フルディスク暗号化を強制する必要がある場合があります。業界によっては、そうするための法的要件もある場合があります。

MS-Officeタイプのファイルにアクセスする必要があるだけの場合は、ターミナルサービスアプリケーションの公開を実行できます。すべての作業はサーバー上で行われますORすべてがワークグループ設定にあると述べたため、グラフォンでgo-globalというプログラムを実行したほうがいいかもしれません。これはターミナルサービスよりも間違いなく安価であり、試用版を試して、アプリケーションで機能するかどうかを確認できます。チェックアウト http:// www .graphon.com /

システムはいくつあり、それらは何ですか? (XPワークステーション、win 7ラップトップ、ドメインコントローラーとして実行されていないwin2k3サーバーなど)

ネットワークがワークグループとして設定されている特定の理由はありましたか?

どのような種類のデータを保護しようとしていますか?

2
Brad

何も信用しない。すべてのモバイルデバイスは、インフラストラクチャ全体にアクセスできない独自のネットワークセグメントに配置する必要があります。この信頼できないネットワークは、オープンインターネットと同じように扱われるべきです。この信頼できないネットワークに必要なサービスのみを公開するようにしてください。

すべてのモバイルデバイスにウイルス対策ソフトウェアがインストールされていることを確認してください。私はまだ電話用のアンチウイルスソフトウェアに懐疑的です。デバイスが定期的に更新されていることを確認してください。

2
rook

この質問のほとんどは私の知識を超えていますが、私には小さな提案があります。物理的なセキュリティ(具体的には、紛失または盗難にあったデバイスの回復)に関しては、私は一般的にこれらの人のファンです。

http://preyproject.com/

私はこれまで自分の資産を置き忘れたことはありませんが、一般的にはシステム全体のファンです。直感的で、パワフルで、カスタマイズ可能で、スクリプト可能であるなどと私は思います。私が変更することは何も考えられません。

開示として、私はこの会社とは何の関係もありません。私はただ満足している顧客です。

2

ポータブルデバイスの最大の必需品の1つはLoJackです。私は数年前からすべての仕事用デバイスにソフトウェアをインストールしていて、実際に動作するのを見る必要はありませんでしたが、ソフトウェアは非常に安定しています-97%のデバイスが盗まれました返品率-Wi-Fiトラッキングを使用しますが、多くのラップトップにGPSチップが搭載されているため、ソフトウェアにもその機能が含まれているため、返品速度が向上します。

それとは別に、フルディスク暗号化(Bitlockerなど)は必須ですが、何らかの理由で一部のファイルのみを暗号化する必要がある場合は、TrueCryptが必須です。

最後に、デバイスに指紋リーダーを搭載できる場合、それは素晴らしい追加レイヤーになる可能性があります。一部のデバイスには顔認識機能がありますが、Androidで、デバイスの所有者の写真を使用してソフトウェアをだましているという脆弱性が見つかりましたが、同じ問題がラップトップカメラに当てはまるかどうかはわかりません。

1
theonlylos

ラップトップを持った10万人のモバイルユーザーがいる可能性のある大規模な専門サービス会社のいくつかを見る必要があります。

  • 管理者アクセスを許可しない
  • 最初にスキャンされない限り、ファイルのダウンロードを許可しないでください
  • 定期的にパッチを適用し、アンチウイルスを更新します
  • ラップトップが最新でない場合にアクセスを防ぐために、VPNソリューションのプラットフォーム評価段階を使用します
  • スプリットトンネリングを防ぐように構成されたファイアウォールを使用する
  • vPNおよびホワイトリストWebサイト経由でのみ接続するようにブラウザーを構成します

同様の質問が以前に回答されていることがわかったら、リンクを追加します

1
Rory Alsop

ビジネスでは、セキュリティは他の何よりもビジネス上の決定です。真に安全であるためには、制御できない機器を使用することはできません。これには、モバイルコンピューターが含まれます。しかし、ビジネスにそのような制限を課すことは、実際の失われた収入にかかる費用ほど多くのお金をセキュリティ責任で節約することはおそらくないでしょう。

したがって、お金を持ち込むスーツの行動を変えようとすると、少し問題になる可能性があります。あなたが正しいとしても。

代わりに、線を引く場所を再考することをお勧めします。おそらく、ワークステーションは信頼されるのではなく、敵対的であると見なされ、ネットワークから独立して、ローカルで個別に保護および管理されるべきです。 「中央」データは、それが意味するものは何でも、すべてのワークステーションが攻撃者であるという仮定に基づいて、ワークステーションからの途中でスキャンされ、精査されます。中央リソースへのアクセスは、適切に保護および認証されたチャネルを介してのみ許可されます。非匿名、パスワードなしのアクセス。

また、すべての重要なドキュメントを保存する「クラウド」の習慣を身に付けて(「クラウド」は、インターネットで配信されるあらゆる種類のファイル同期ツール(Dropbox、SharePointなど)である可能性があります)、定期的にワイプして再作成することをお勧めします。 -会社所有のすべてのモバイルコンピューターをプロビジョニングします。

ユーザーにとっては、anyラップトップを使用してデータを入力するだけで自由になり、ハードウェア障害が発生することはほとんどありません。そして、あなたの観点からは、それはセキュリティを大幅に簡素化します。 3か月ごとにすべてを拭き取り、すべてのデバイスでクリーンを開始します。

1
tylerl