オフィス ネットワークのセキュリティを強化しようと考えています。物理的なセキュリティ、Active Directory を使用したユーザー権限の制限、ステートフル パケット インスペクションを実行するファイアウォールの実行、ウイルス対策ソフトウェアの実行といった明らかな対策の他に、ユーザーがファイルを USB フラッシュ ドライブにコピーして家に持ち帰ったり、ハード ディスクのクローンを作成したり、ワークステーションからハード ディスクを取り外したりすることを防止したいと考えています。
Dell SonicWall を使用してすべての電子メール サイトをブロックし、従業員が機密性の高い企業データを自分自身に電子メールで送信できないようにすることはできますが、USB ドライブについてはどうすればよいでしょうか。ワークステーションの BIOS では、USB ドライブを無効にすることはできません。
以前、銀行のコンピューターを使用してカメラから USB フラッシュ ドライブに写真を転送していたクライアントがいました。彼女は、自宅のコンピューターで USB ドライブの写真が開けないと苦情を言って私のところに来ました。コンピューターが写真を暗号化し、銀行のコンピューターでしか開けないようにしていたことが判明しました。従業員がデータを削除できないようにするには、どうすればよいでしょうか。
Intel が vPro テクノロジー搭載のシステムでハードウェア ドライブ暗号化を提供していることは知っていますが、ほとんどのワークステーションにはこの機能がありません。ソフトウェアでこれを実行する方法はありますか? フル ディスク暗号化により、従業員がデータをフラッシュ ドライブにコピーするのを防止できますか? アドバイスをお願いします。
また、転送中のデータを暗号化する方法はありますか。たとえば、サーバーが NAS ドライブにバックアップしているとき、ネットワーク経由でデータを転送中に暗号化することは可能ですか。また、このレベルのセキュリティは必要ですか。
また、Windows サーバーで、ファイルやシステム設定に誰がアクセスして変更したかのトランザクション ログを正確に保存する方法はありますか?
答え1
おそらくあなたの質問は複数の質問に分割する必要があるため、詳細には触れません。
「ユーザーがファイルを USB フラッシュ ドライブにコピーして家に持ち帰ったり、ハード ディスクのクローンを作成したり、ワークステーションからハード ディスクを取り外したりすることを防止したいと思います。」
ワークステーションのケースにロックをかけ、ハードドライブを取り外せないようにすることはできますが、それでもコンピューターをゴミ箱に放り込んで持ち去る行為は防げません (以前の職場では実際に犯罪でした)。
フラッシュ ドライブに関しては、グループ ポリシーを通じてリムーバブル ドライブをブロックできます。
(画像提供:この記事役に立つかもしれません。
「フルディスク暗号化により、従業員がデータをフラッシュドライブにコピーするのを防ぐことができますか?」
いいえ、そのためにはフラッシュドライブをブロックする必要があります。
「また、転送中のデータを暗号化する方法はありますか。たとえば、サーバーが NAS ドライブにバックアップしているとき、ネットワーク経由でデータを転送中に暗号化することは可能ですか。また、このレベルのセキュリティは必要ですか。」
それが「価値がある」かどうかは、何を守るかによって決まります。IPSECWindows のバージョンによって異なります。
「そして、Windows サーバーで、ファイルやシステム設定に誰がアクセスして変更したかのトランザクション ログを正確に保存する方法はありますか?」
はい、調査する必要があります監査ポリシー。
答え2
以前、クライアントでトレンドマイクロのウイルス対策ソフトを使ったことがあります。USBドライブを無効にするオプションがあります(もちろんキーボードとマウスは除きます)