Qual è il vero pericolo di non inserire una password di accesso in Windows in una piccola azienda ad eccezione di quella di permettere a chiunque di andare fisicamente sul tuo computer?

4

La mia domanda è semplice. Lavoro in un'azienda di 10 dipendenti in cui nessuno dei nostri computer ha password per accedere ai nostri sistemi Windows. Il fatto è che il mio capo non vuole password perché pensa che non abbiamo nulla da nascondere e anche perché si tratta di computer collegati al lavoro, non di personal computer.

Ma come IT in questa azienda, sono un po 'curioso riguardo alla sicurezza qui. Abbiamo sempre sentito che dovresti inserire una password sui nostri computer. Ma che dire di una piccola azienda in cui c'è quasi sempre qualcuno alla nostra scrivania per la sorveglianza sull'uso dei computer da parte di terzi, eccetto alcuni addetti alle consegne o clienti che potrebbero potenzialmente passare dai nostri computer.

Quindi, c'è un pericolo sostanziale, oltre a quello di qualcuno che accede fisicamente al tuo computer, lasciando i tuoi computer senza alcuna password? Voglio dire, se la tua porta SMB è aperta e vulnerabile a Wanna Cry, ad esempio, non importa se non hai la password, giusto? Il worm continuerà a entrare una volta acceso il computer. Se un virus tenta di entrare nel tuo sistema e non hai una password, è più facile per lui elevare i suoi privilegi ad amministratore? Se il controllo UAC è indipendente dalla tua password di Windows, avrai comunque questa protezione per contrastare qualsiasi tentativo di escalation dei privilegi, giusto?

Grazie

    
posta wpadmin 03.07.2018 - 12:43
fonte

3 risposte

1

In poche parole, oltre all'accesso fisico, locale, non c'è più il rischio di non avere una password che averne uno. Inoltre, il rischio evidente di chiunque sia in grado di salire sul tuo computer e accedere.

Esistono tuttavia numerosi rischi che derivano dalla prevenzione di frodi e frodi. Dal momento che chiunque può accedere a qualsiasi computer e accedere, se qualcosa di malevolo dovesse accadere (e lo fa) non avresti modo di dimostrare chi fosse.

EDIT: se sei su Windows 7 puoi usare autologin: link

PREVENZIONE DI FRODE E FRODE

In genere, un'organizzazione avrebbe i controlli in atto per impedire che le frodi impediscano si verifichino in primo luogo. L'idea è che più è difficile prevenire le frodi, più improbabile sarà che accada. Descriverò uno scenario approssimativo alla fine se questo ti aiuta a chiarirlo.

Un metodo di controllo comune è una password corretta, in modo che qualcuno non possa avvicinarsi a un computer, utilizzarlo per alcune attività dannose e poi andarsene. Tieni presente che questa persona potrebbe essere anche esterna all'azienda, ad esempio. potrebbe essere un riparatore, potrebbe essere un revisore dei conti, un ispettore sanitario, ecc. a seconda della linea di lavoro, non solo qualcuno dall'interno dell'azienda.

SCENARIO

Un'organizzazione non ha password sui loro computer - Un dipendente, Jane, è stato licenziato da uno dei tre dipendenti a causa della riduzione della forza lavoro da una riduzione del budget. Il suo compito era di gestire l'account aziendale per fare acquisti da nuovi fornitori.

Alcune settimane dopo essere stata rilasciata, la sua sostituta ha notato alcune irregolarità nei conti di cui era a capo. È stata avviata un'indagine interna, che ha rilevato che quasi $ 5000 erano scomparsi negli ultimi 18 mesi. Un auditor esterno è stato chiamato per valutare la situazione e un investigatore di frodi li ha acquisiti per scoprire cosa è successo.

Scoprirono che il computer Janes era usato per spostare i soldi, tuttavia era sempre durante le ore di fuori ufficio. Hanno anche scoperto che nessuno in azienda utilizza password su nessuno dei loro computer, il che significa che potrebbe essere chiunque abbia avuto accesso fisico durante quei 18 mesi. Hanno anche scoperto di condurre un'intervista che Jane ha lasciato senza problemi, e li ha lasciati con poche ragioni per pensare che fosse lei.

Quindi chi potrebbe essere?

SCENARIO 2

Come sopra, eccetto che i dipendenti usano le password -

Scoprono che il computer di Janes è stato utilizzato per spostare i soldi, ed è sempre stato durante le ore di fuori ufficio. Comunque non erano i suoi dettagli di accesso che erano stati usati, ma piuttosto il gestore assumente per il pavimento.

È stata avviata un'indagine e scoperto che stava avendo alcuni problemi a casa con il suo coniuge, che potrebbe essere un potenziale motivatore.

ecc. ecc.

Il punto è che in ognuna di queste situazioni, anche con le password usate, è difficile dire chi è che ha commesso il crimine. Tuttavia, nel caso dello scenario 2 - il gestore assumente dovrebbe spiegare perché ha effettuato l'accesso con i suoi dettagli al di fuori delle normali ore, o come le sue credenziali siano state potenzialmente "hackerate".

Spero che chiarisca un po 'le cose. Posso espandere ulteriormente se non.

EDIT: basta aggiungere dal punto @ Sayan - è noto in sicurezza come non ripudio - o essere in grado di dimostrare che qualcosa è successo da chi

    
risposta data 03.07.2018 - 13:30
fonte
2

Una delle principali preoccupazioni per la sicurezza sarebbe "Non ripudio".

Il non ripudio è la prova / la certezza che qualcuno non può negare la propria azione. Quindi nel tuo caso se qualcosa va storto potresti finire con una situazione in cui non puoi intraprendere alcuna azione.

Perché potresti non essere in grado di produrre prove digitali per il caso.

Puoi fare riferimento all'articolo seguente per maggiori dettagli su Non ripudio: link

    
risposta data 03.07.2018 - 16:04
fonte
0

Dal vettore di attacco della rete, non lo rende meno sicuro.

Ma ho due esempi del perché è solo una cattiva idea. In una compagnia che ero al personale di pulizia usavo il computer della reception per guardare il porno. Quando arrivò il giorno dopo, chiamò immediatamente la polizia. Mentre nulla ha effettivamente richiesto l'intervento della polizia, è stato un giorno di tempo perso.

Il prossimo è un esempio comune di dipendente insoddisfatto che causa danni il giorno successivo. E come altri hanno già detto, nessuna password rende difficile l'attribuzione. Video di hacking insider - link

    
risposta data 03.07.2018 - 18:02
fonte

Leggi altre domande sui tag