Ich möchte die Sicherheit eines Büronetzwerks verbessern. Abgesehen vom Offensichtlichen: physische Sicherheit, Einschränkung der Benutzerrechte mithilfe von Active Directory, Ausführung einer Firewall mit Stateful Packet Inspection und Ausführung einer Antivirensoftware; ich möchte verhindern, dass Benutzer eine Datei auf einen USB-Stick kopieren und mit nach Hause nehmen, eine Festplatte klonen oder die Festplatte einfach von einer Arbeitsstation entfernen.
Ich kann mit der Dell SonicWall alle E-Mail-Sites blockieren, sodass Mitarbeiter sich keine vertraulichen Unternehmensdaten per E-Mail schicken können. Aber was mache ich mit USB-Laufwerken? Das BIOS der Workstations lässt keine Deaktivierung zu.
Ich hatte einmal eine Kundin, die einen Computer in einer Bank, an dem sie arbeitete, benutzte, um Fotos von ihrer Kamera auf einen USB-Stick zu übertragen. Sie kam zu mir und beschwerte sich, dass sie die Fotos auf dem USB-Stick auf ihrem Heimcomputer nicht öffnen kann. Es stellte sich heraus, dass der Computer die Fotos verschlüsselt hatte, sodass sie nur auf dem Bankcomputer geöffnet werden konnten. Wie kann ich so etwas tun, um zu verhindern, dass Mitarbeiter Daten entfernen?
Ich weiß, dass Intel auf Systemen mit vPro-Technologie Hardware-Laufwerkverschlüsselung anbietet, aber die meisten unserer Workstations verfügen nicht darüber. Gibt es eine Möglichkeit, dies per Software zu tun? Würde eine vollständige Festplattenverschlüsselung einen Mitarbeiter überhaupt daran hindern, Daten auf ein Flash-Laufwerk zu kopieren? Bitte um Rat.
Gibt es außerdem eine Möglichkeit, Daten während der Übertragung zu verschlüsseln? Beispiel: Wenn der Server ein Backup auf einem NAS-Laufwerk erstellt, ist es dann möglich, die Daten während der Übertragung über das Netzwerk zu verschlüsseln, und ist dieses Sicherheitsniveau überhaupt erforderlich?
Und gibt es eine Möglichkeit, auf dem Windows-Server ein Transaktionsprotokoll zu führen, in dem genau festgehalten ist, wer auf Dateien oder Systemeinstellungen zugreift und diese ändert?
Antwort1
Ihre Frage sollte wahrscheinlich in mehrere Fragen aufgeteilt werden, daher werde ich nicht näher ins Detail gehen.
„Ich möchte verhindern, dass Benutzer eine Datei auf einen USB-Stick kopieren und mit nach Hause nehmen oder eine Festplatte klonen oder die Festplatte einfach von einer Arbeitsstation entfernen.“
Sie könnten die Gehäuse der Workstations abschließen, um zu verhindern, dass jemand die Festplatte herausnimmt. Das wird die Leute aber nicht davon abhalten, ihren Computer in den Mülleimer zu werfen und damit wegzugehen (ein echtes Verbrechen an einem früheren Arbeitsplatz).
Was die Flash-Laufwerke betrifft, können Sie Wechseldatenträger über die Gruppenrichtlinie blockieren.
(Bild vonDieser Artikel, was Sie vielleicht nützlich finden.)
„Würde eine vollständige Festplattenverschlüsselung einen Mitarbeiter überhaupt daran hindern, Daten auf einen Flash-Speicher zu kopieren?“
Nein, dafür müssen Sie den USB-Stick sperren.
„Gibt es außerdem eine Möglichkeit, Daten während der Übertragung zu verschlüsseln? Wenn der Server beispielsweise ein Backup auf einem NAS-Laufwerk erstellt, ist es dann möglich, die Daten während der Übertragung über das Netzwerk zu verschlüsseln, und ist dieses Sicherheitsniveau überhaupt notwendig?“
Ob es sich "lohnt", hängt davon ab, was Sie schützen möchten. Sie könntenIPSEC, abhängig von Ihrer Windows-Version.
„Und gibt es eine Möglichkeit, auf dem Windows-Server ein Transaktionsprotokoll zu führen, in dem genau festgehalten ist, wer auf Dateien oder Systemeinstellungen zugreift und diese ändert?“
Ja, Sie sollten untersuchenÜberwachungsrichtlinien.
Antwort2
Ich habe Trend Micro Antivirus schon bei Kunden verwendet. Es gibt eine Option, mit der Sie USB-Laufwerke deaktivieren können (außer KB und Maus natürlich).