組織内では、すべての開発者がワークステーションを離れるときにワークステーションをロックする必要がありますか?
ワークステーションのロックが解除されたままになっている場合のリスクは何だと思いますか。また、「オーバーワイヤ」(ネットワークハッキング)セキュリティリスクと比較して、そのようなリスクはどのように重要だと思いますか。
ワークステーションのロックを強制するのに最も効率的なポリシーは何だと思いますか?(ポリシーは、スクリーンセーバーをロックするためのドメイングループのセキュリティ設定などの「技術的」なものか、ロックしない人にペナルティを適用したり、Goatingを奨励したりするような「ソーシャル」なもののいずれかです。)
現実世界の主なリスクは、同僚があなたに「行く」ことです。これを強制するには、グループポリシーを設定して、X分後にスクリーンセーバーを実行します。これにより、コンピューターもロックされる可能性があります。
私にとって、これは習慣になっています。Windowsマシンでは、を押すWindows-Lとマシンをすばやくロックできます。
解決策は技術的ではなく社会的かもしれません。離れるときに他人にメールを読んだり、アカウントを偽装したりしたくないことを人々に納得させます。
私の組織(政府)では、そうです。機密データ(医療およびSSN)を扱います。それは私にとって本能的です:私が立ち去るたびにWindows+L。
ポリシーは社会的かつ技術的です。社会的側面では、個人のセキュリティが重要であり、誰もが私たちが所有しているデータを認識していることを忘れないでください。技術面では、ワークステーションはグループポリシーを使用して、2分後にスクリーンセーバーをオンにし、[再開時にパスワード保護]をオンにします(オフにすることはできません)。
いいえ、でも私は 1 人の組織です。前回大規模な組織で働いたときは、強制ではなく、奨励されていました。他の人がいる環境にいた場合、ワークステーションを離れるときに、おそらく今すぐワークステーションをロックするでしょう。確かに、物理的なアクセス権を持つ人はハードウェア キーロガーを追加できますが、それをロックすると、セキュリティ レベルがさらに高まります。組織の種類にもよりますが、ネットワーク経由の攻撃よりも組織内部の詮索によるリスクの方が大きいと思います。
私は非常に大規模な企業で働いていました。そこでは、ワークステーションが動作するためにバッジを内部に挿入する必要がありました。建物内を移動することは許可されませんでした (いずれにせよ、ドアを開けるにはバッジが必要でした)。ワークステーションのスマートカード リーダーからバッジを取り出すと、自動的にログアウトされました。
話は逸れますが、ワークステーションは「ネットワークステーション」に似ていて (ただし、今説明したシステムを使用する必要はありません)、バッジがセッションを開催しました。それを別の建物の別のワークステーションにポップすると、別のコンピューターでバッジを引っ張ったときに終了したときと同じセッションが表示されます。
そこで彼らは基本的に、ワークステーションから物理的にログオフするよう人々に強制することで問題を解決しました。これは、あらゆる種類のセキュリティ クリティカルなポリシーを実施するための最良の方法だと思います。人々は忘れています、それは人間の本性です。
これが本当に重要であると私が見た唯一の場所は、政府、防衛、および医療施設です。これを実施する最善の方法は、WindowsのユーザーポリシーとUnixシステムの「ドットファイル」を使用することです。この場合、ログイン時にスクリーンセーバーとタイムアウトが事前に選択されており、変更することはできません。
ワークステーションをロックすることはありません。
私の同僚と友人が私を嘲笑し、私のマシンから恥ずかしいメールを送信することを熱望したとき、私は彼のマシンに物理的にアクセスできるときにロックが何でもできると思って彼を嘲笑しました、そして私は彼をこのURLにリンクしました:
http://www.google.com/search?hl=en&q=USB+keylogger
私は同僚がまだ平等にアクセスできない機密データを扱っていませんが、決心した詮索好きな同僚に対するワークステーションのロックの有効性には疑問があります。
編集:私がロックしない理由は、以前は使用していたためですが、ウィンドウに奇妙な不安定性が生じ続けました。私はオンデマンドでのみ再起動するので、マシンが不安定にならず、ロックが邪魔になることなく、数か月間稼働することを期待しています。
私は Pageant を実行しており、SSH 公開鍵をここのすべてのサーバーに配布しています。私のワークステーションに座っている人は誰でも、基本的にどこにいても私のキーでどのアカウントにもログインできます。
そのため、30 秒の休憩であっても、常にマシンをロックします。(Windows-L は基本的に、私が知っている唯一の Windows キー ベースのショートカットです。)
コーヒーを飲みに行くたびにワークステーションをロックすると、パスワードを 1 日に 1 回ではなく 10 回入力することになります。そして、あなたの周りの誰もがあなたがそれをタイプしているのを見ることができます. そして、そのパスワードを取得すると、リモート コンピューターからあなたになりすますことができます。これを証明するのは、オフィスで全員が見ている PC を使用するよりもはるかに困難です。では、ワークステーションをロックすることは、実際にはセキュリティ リスクの方が大きいのではないでしょうか?
社会的および技術的な方法を組み合わせて、IT 担当者が PC をロックするよう促します。デフォルトのスクリーン セーバー/ロック設定に加えて、外出の脅威を与えます。(私が最後に働いた場所では、実際にはスクリーン セーバーの設定がロックされていました。)
覚えておくべきことの 1 つは、アクティビティ、変更、またはその両方を追跡するアプリケーション (特に SSO の場合) がある場合、データに記録されたユーザーが誰であるかを確認できない場合、収集するデータの価値が低くなる可能性があることです。それらの変更を実際に行ったユーザー。
ほとんどのユーザーが利用できる会社関連の機密情報があまりない私たちのような会社でさえ、誰かがロックされていないワークステーションを介して別の従業員から NBR データを取得する可能性は確かにあります。ウェブサイトのパスワードを自分のコンピュータに保存している人はどれくらいいますか? アマゾン?ファンタジーフットボール?(危険なゴーティング テクニック: 他の誰かの名簿から重要なプレーヤーを削除します。コミッシュがあなたと一緒にいる場合にのみ本当に面白いので、プレーヤーを元に戻すことができます...)
考慮すべきもう 1 つの点は、建物内の全員がそこに属していると確信できないことです。実際に建物内にいる場合、ネットワークへのハッキングははるかに簡単です。もちろん、建物内の大多数の人々は、そこにいることが許可されているためそこにいます。 100 万人に 1 人の男が建物に侵入します。(意図的に悪い人である必要はありません。誰かの子供、友人、親戚などである可能性があります。) もちろん、その人を入れた従業員は、その人にコンピューターを使用させることもできますが、攻撃を止めるのははるかに困難です。
暴言はクビになる可能性があるので、お勧めしません。ただし、そうでない場合は、「今後は常にワークステーションをロックします」という広範なメールであっても効果的です。
少なくとも、X 分間非アクティブ状態が続くと、マシンは自分自身をロックする必要があり、これはグループ ポリシーで設定する必要があります。
セキュリティとは、ハードルを上げることであり、何か悪いことを成し遂げるためにより多くの労力を必要とします。ワークステーションをまったくロックしないと、そのバーが下がります。
個人的にはリスクは低いと思いますが、私の経験ではほとんどの場合意見の問題ではありません。実際にセキュリティを監査する大企業や政府機関のクライアントにとっては要件となることがよくあります。その場合、要件に準拠していることを実際に証明できるため、ある種の技術的(グループポリシー)ソリューションが最適です。また、法的なプライバシー要件(医療データやHIPAAなど)がある場合にも行います。
私は、私たちの機器の一部を供給した人々が私たちと直接競争している会社から来た場所で働いていました。機器のメンテナンスが必要なとき、彼らは建物の中にいました。時々メールが出て、そこにいると言っていたので、そこにいないときはマシンをロックしてください。開発者がマシンをロックするのを忘れたために競合他社が私たちのソースを入手した場合、開発者は新しい仕事を探しています。
私たちは仕事をする必要があり、それを自分たちで実施します。人々への愛を告白する大規模なチャットが開始され、メールが送信され、背景が変更されます。新入社員が発生した最初の日が大好きです。誰もが素敵なメモを残すはずです:)
私の会社の所有者(および開発者)は、コンピューターのロックを解除したままにすると、コードウィンドウに小さな変更を加え、コードが見つかるまでコードが機能しないのではないかと気が狂います。
言わなければならないのは、そのいたずらについて聞いた後、コンピューターのロックを解除したままにすることは決してないということです。コードの一部と同じように、私は十分に夢中になります。
それは重要ですか、それとも良い習慣ですか?自分の家ではコンピューターをロックすることは重要ではないかもしれませんが、クライアントのオフィスにいて立ち去る場合は重要だと思います。
強制する方法については...
Don't Forget To Lock Your Computerに関する Jeff のブログ エントリを読んだ後。同僚のデスクトップの背景を変更したい...
1,238px × 929px
言うまでもなく、同僚はコンピューターをロックし始めました。
人々のワークステーションに座って、彼らが立ち去った直後に[ここに何か悪いものを挿入]を積み始めることができます. それはうまくいくと確信しています。
私が以前働いていた職場では、ワークステーションを常にロックするというポリシーがありました。彼らは全社的なメーリング リストを設定することでそれを強制しました。ワークステーションのロックを解除したままにしておくと、同僚があなたのアカウントからメーリング リストに恥ずかしいメールを送信し、マシンをロックしました。それはちょっと面白くて、ちょっと面倒でもありましたが、一般的にはうまくいきました.
私が訪れたいくつか/ほとんどの政府機関では、一般の人々が歩き回る可能性があり、PC の USB リーダーに差し込むスマートカードを持っています。カードはユーザーの首にかけるネックレスにあり、取り外すとワークステーションがロックされます。
GateKeeper は、これに対する簡単なソリューションです。ユーザーが立ち去るとワークステーションが自動的にロックされ、ユーザーがコンピュータの範囲内に戻ると自動的にロックが解除されます。また、2 要素認証やその他のロック/ロック解除方法が必要になる場合もあります。
コンピューターに指紋リーダーを差し込んでパスワードをプログラムし、このネックレスに USB レシーバーを付ければ、ワークステーションから離れると、スクリーン セーバーがアクティブにロックします。範囲内に表示されたら、指紋リーダーから指をスワイプしてワークステーションのロックを解除します。これは、「WinKey + L」でロックすることを忘れずに、シンプルで邪魔にならず、すっきりした非常に安価な方法だと思います
これがお役に立てば幸いです。よろしくお願いします、トム。