Estoy buscando reforzar la seguridad en una red de oficina. Aparte de lo obvio: seguridad física, limitar los privilegios de los usuarios al usar Active Directory, ejecutar un firewall que realiza una inspección detallada de los paquetes y ejecutar software antivirus; Me gustaría evitar que los usuarios copien un archivo a una unidad flash USB y se lo lleven a casa, clonen un disco duro o simplemente extraigan el disco duro de una estación de trabajo.
Puedo bloquear todos los sitios de correo electrónico utilizando Dell SonicWall para que los empleados no puedan enviarse por correo electrónico datos corporativos confidenciales, pero ¿qué hago con las unidades USB? La BIOS de las estaciones de trabajo no permite desactivarlas.
Una vez tuve un cliente que usaba una computadora en un banco en la que estaba trabajando para transferir fotos desde su cámara a una unidad flash USB. Ella vino a verme quejándose de que no puede abrir las fotos en la unidad USB de la computadora de su casa. Resulta que la computadora cifró las fotos para que solo se puedan abrir en la computadora del banco. ¿Cómo puedo hacer algo como esto para evitar que los empleados eliminen datos?
Sé que Intel ofrece cifrado de unidades de hardware en sistemas con tecnología vPro, pero la mayoría de nuestras estaciones de trabajo no lo tienen. ¿Hay alguna manera de hacer esto mediante software? ¿El cifrado completo del disco impediría incluso que un empleado copie datos en una unidad flash? Por favor avise.
Además, ¿existe alguna forma de cifrar los datos en tránsito? Por ejemplo: cuando el servidor realiza una copia de seguridad en una unidad NAS, ¿es posible cifrar los datos mientras circulan por la red? ¿Es incluso necesario este nivel de seguridad?
¿Y hay alguna manera de que el servidor de Windows mantenga un registro de transacciones de exactamente quién accede y cambia cualquier archivo o configuración del sistema?
Respuesta1
Probablemente su pregunta debería dividirse en varias preguntas, por lo que no entraré en muchos detalles.
"Me gustaría evitar que los usuarios copien un archivo a una unidad flash USB y se lo lleven a casa, clonen un disco duro o simplemente extraigan el disco duro de una estación de trabajo".
Puede bloquear las cajas de las estaciones de trabajo para evitar que las personas extraigan el disco duro. Eso no impedirá que las personas arrojen su computadora a la basura y se vayan con ella (un delito real en un lugar de trabajo anterior).
En cuanto a las unidades flash, puedes bloquear las unidades extraíbles mediante la política de grupo.
(Imagen deEste artículo, que puede resultarle útil).
"¿El cifrado completo del disco impediría incluso que un empleado copie datos en una unidad flash?"
No, necesitas bloquear las unidades flash para eso.
"Además, ¿existe alguna forma de cifrar los datos en tránsito? Por ejemplo: cuando el servidor realiza una copia de seguridad en una unidad NAS, ¿es posible cifrar los datos mientras circulan por la red? ¿Es incluso necesario este nivel de seguridad? "
Si "vale la pena" depende de lo que esté protegiendo. Podrías implementarIPSEC, dependiendo de su versión de Windows.
"¿Y hay alguna manera de que el servidor de Windows mantenga un registro de transacciones de exactamente quién accede y cambia cualquier archivo o configuración del sistema?"
Si, deberías investigarpolíticas de auditoría.
Respuesta2
He usado Trend Micro Antivirus en clientes antes. tiene una opción que puede desactivar las unidades USB (excepto KB y mouse, por supuesto)