Quali sono i possibili approcci e argomenti per la protezione dei sistemi IT aziendali con la maggior parte dei computer portatili?

2

Sono stato assunto come unico amministratore di sistema da un'azienda in cui metà dei computer è portatile e viene portata via per lavoro a casa, viaggi di lavoro, visite a clienti, ecc. avendo accesso praticamente a tutto mentre connesso a reti aziendali interne.

E la maggior parte degli utenti di computer, anche desktop, sono amministratori. In gruppi di lavoro Windows, nessun controller di dominio / directory attiva.

  • Aggiornamento: 35+ Windows 7, XP, workstation Vista e due server Windows 2003, uno in esecuzione per i servizi terminal (che serve a tutti applicazioni di contabilità), un altro Windows 2003 Server è per siti Web / portale ed esterni accesso da internet. L'ufficio (reti interne) è distribuito su 2 sedi principali (una è la ufficio principale e un altro produce impianti in un'altra città) e l'ufficio principale ha 2 edifici con comunicazione tramite WiFi.
    I dipendenti (venditori, commercialisti, avvocati) collegano i computer portatili alla rete via cavo interna mentre sono in ufficio Vedi eonformation mor sulla mia situazione specifica nella mia domanda Come assicurarsi che il precedente sysadmin non abbia compromesso la sicurezza IT aziendale? [chiuso]
    Fine aggiornamento

Quali sono i primi passi più urgenti per assicurare / ri-organizzare tali infrastrutture e argomenti IT per convincere il top management nelle loro necessità?

    
fonte

6 risposte

2

Limiterò in base al tipo di dati a cui hanno bisogno di accedere.

Hanno bisogno di memorizzare qualsiasi informazione localmente? Se sì, che tipo di dati? Potrebbe essere necessario forzare la cifratura completa del disco se si tratta di dati sensibili come SS #, CC ecc. Potresti anche avere un obbligo legale a seconda del tuo settore.

Se hanno solo bisogno di accedere ai file di tipo MS-Office, è possibile eseguire la pubblicazione di applicazioni di servizi terminal e tutto il lavoro verrà eseguito sul server OPPURE dato che hai menzionato che tutto si trova in un'impostazione di gruppo di lavoro potresti stare meglio in esecuzione un programma chiamato go-global by graphon. Questo è sicuramente più economico dei servizi terminal e potresti provare la versione di prova per vedere se funzionerà per la tua applicazione. controlla link

Quanti sistemi ci sono e quali sono? (Workstation XP, computer portatile win 7, server win2k3 che non è in esecuzione come controller di dominio, ecc.)

C'era una ragione specifica per cui la rete è configurata come un gruppo di lavoro?

Che tipo di dati stai cercando di proteggere?

    
risposta data 27.03.2012 - 01:28
fonte
2

Non fidarti di nulla. Tutti i dispositivi mobili devono essere collocati sul proprio segmento di rete, che non ha accesso all'intera infrastruttura. Questa rete non affidabile dovrebbe essere trattata in modo diverso rispetto a Internet aperto. Assicurati di esporre solo i servizi necessari per questa rete non affidabile.

Assicurati che tutti i dispositivi mobili dispongano di un software antivirus. Sono ancora scettico nei confronti del software antivirus per i telefoni. Assicurati che i dispositivi vengano aggiornati regolarmente.

    
risposta data 27.03.2012 - 00:18
fonte
2

La maggior parte di questa domanda è al di là della mia comprensione, ma ho un piccolo suggerimento. Quando si tratta di sicurezza fisica (in particolare, il recupero di dispositivi persi o rubati), sono generalmente un fan di questi ragazzi:

link

Non ho mai collocato in precedenza nessuna delle mie proprietà, ma generalmente sono un fan del loro intero sistema. Mi sembra intuitivo, potente, personalizzabile, scrivibile, ecc. Non riesco davvero a pensare a qualcosa che cambierei.

Per divulgazione, non ho alcuna affiliazione con questa azienda. Sono solo un cliente soddisfatto.

    
risposta data 27.03.2012 - 23:52
fonte
1

Uno dei più grandi must di tutti i dispositivi portatili è LoJack. Ho installato il software su tutti i miei dispositivi di lavoro per alcuni anni e, mentre non ho dovuto vederlo in azione, il software è molto solido - con un dispositivo rubato al 97% tasso di ritorno - con tracciamento Wi-Fi, anche se ora che molti portatili hanno chip GPS il software ora include anche questa capacità, aumentando quindi la velocità di ritorno.

A parte questo, la crittografia di tutto il disco (Bitlocker o qualcosa di simile) è un must, anche se per qualche ragione hai solo bisogno di crittografare alcuni file - TrueCrypt è un must.

Infine, se puoi ottenere lettori di impronte digitali sui tuoi dispositivi, questo può essere un bel livello aggiunto. Sebbene alcuni dispositivi abbiano riconoscimento facciale, so che su Android è stata rilevata una vulnerabilità in cui l'utilizzo di un'immagine del proprietario del dispositivo ha ingannato il software, ma non sono sicuro che lo stesso problema si applichi alle fotocamere dei laptop.

    
risposta data 27.03.2012 - 01:35
fonte
1

Dovresti dare un'occhiata ad alcune delle grandi aziende di servizi professionali che possono avere 100k utenti mobili con laptop.

  • non consentire l'accesso come amministratore
  • non consentire loro di scaricare file a meno che non siano stati scansionati per primi
  • aggiorna regolarmente e aggiorna l'antivirus
  • utilizzare una fase di valutazione della piattaforma sulla soluzione VPN per impedire l'accesso se il laptop non è aggiornato
  • utilizza un firewall configurato per impedire il tunneling diviso
  • configura il browser per connettersi solo tramite i siti web VPN e whitelist

Aggiungerò un link quando trovo che la domanda simile abbia avuto risposta in precedenza

    
risposta data 27.03.2012 - 19:07
fonte
1

In un'azienda, la sicurezza è una decisione aziendale tanto quanto qualsiasi altra cosa. Per essere veramente sicuro, non è possibile utilizzare attrezzature che non è possibile controllare, inclusi i computer portatili. Ma mettere questo tipo di restrizioni su un business probabilmente non salverà la responsabilità della sicurezza tanto quanto costerebbe in caso di mancati guadagni.

Quindi provare a cambiare il comportamento dei semi che portano i soldi può essere un po 'problematico. Anche se hai ragione.

Invece, potresti voler ripensare a dove disegni le linee. Invece di essere fidati, forse le workstation dovrebbero essere considerate ostili e protette e gestite individualmente, localmente, indipendentemente dalla rete. I dati "centrali", qualunque cosa ciò possa significare, verrebbero quindi scansionati e controllati in ingresso dalle workstation basandosi sul presupposto che tutte le workstation siano attaccanti. L'accesso alle risorse centrali è consentito solo attraverso canali adeguatamente protetti e autenticati. Accesso non anonimo e senza password.

Inoltre, è una buona idea prendere l'abitudine di "cloud" per archiviare tutti i documenti importanti (dove "cloud" potrebbe essere qualsiasi strumento di sincronizzazione dei file consegnato via Internet, ad es. dropbox, sharepoint, ecc.) e regolarmente cancella e ripristina tutti i computer mobili di proprietà dell'azienda.

Per l'utente, è liberatorio essere in grado di prendere qualsiasi laptop e avere i tuoi dati semplicemente popolati su di esso, e rende l'errore hardware a stento anche un inconveniente. E dal tuo punto di vista, semplifica enormemente la sicurezza; ogni 3 mesi pulisci tutto e inizia a essere pulito su tutti i dispositivi.

    
risposta data 28.03.2012 - 08:03
fonte