Estou procurando reforçar a segurança em uma rede de escritório. Além do óbvio: segurança física, limitação de privilégios de usuário usando Active Directory, execução de um firewall que faz inspeção de estado de pacotes e execução de software antivírus; Gostaria de evitar que os usuários copiem um arquivo para uma unidade flash USB e o levem para casa, ou clonem um disco rígido ou simplesmente removam o disco rígido de uma estação de trabalho.
Posso bloquear todos os sites de e-mail usando o Dell SonicWall para que os funcionários não possam enviar dados corporativos confidenciais para si mesmos, mas o que devo fazer em relação às unidades USB? O BIOS nas estações de trabalho não permite que sejam desabilitadas.
Certa vez, tive uma cliente que usou um computador de um banco em que estava trabalhando para transferir fotos de sua câmera para uma unidade flash USB. Ela me procurou reclamando que não consegue abrir as fotos do drive USB de seu computador doméstico. Acontece que o computador criptografou as fotos para que elas só pudessem ser abertas no computador do banco. Como posso fazer algo assim para evitar que os funcionários removam dados?
Eu sei que a Intel oferece criptografia de unidade de hardware em sistemas com tecnologia vPro, mas a maioria de nossas estações de trabalho não possui isso. Existe uma maneira de fazer isso via software? A criptografia completa do disco impediria que um funcionário copiasse dados para uma unidade flash? Por favor, avise.
Além disso, existe uma maneira de criptografar dados em trânsito. Por exemplo: quando o servidor está fazendo backup em um drive NAS, é possível criptografar os dados enquanto eles passam pela rede e esse nível de segurança é mesmo necessário.
E existe uma maneira de fazer com que o servidor Windows mantenha um log de transações de quem exatamente acessa e altera qualquer arquivo ou configuração do sistema?
Responder1
Sua pergunta provavelmente deve ser dividida em várias perguntas, por isso não vou entrar em muitos detalhes.
"Eu gostaria de evitar que os usuários copiem um arquivo para uma unidade flash USB e o levem para casa, ou clonem um disco rígido ou simplesmente removam o disco rígido de uma estação de trabalho."
Você pode bloquear os gabinetes das estações de trabalho para impedir que as pessoas removam o disco rígido. Isso não impedirá que as pessoas joguem seus computadores na lata de lixo e saiam com ele (um crime real em um local de trabalho anterior).
Quanto às unidades flash, você pode bloquear unidades removíveis por meio de política de grupo.
(Imagem deEste artigo, o que pode ser útil.)
“Será que a criptografia completa do disco impediria um funcionário de copiar dados para uma unidade flash?”
Não, você precisa bloquear drives flash para isso.
“Além disso, existe uma maneira de criptografar dados em trânsito. Por exemplo: quando o servidor está fazendo backup em um drive NAS, é possível criptografar os dados enquanto eles passam pela rede e esse nível de segurança é mesmo necessário. "
Se “vale a pena” depende do que você está protegendo. Você poderia implementarIPsec, dependendo da sua versão do Windows.
"E existe uma maneira de fazer com que o servidor Windows mantenha um log de transações de quem exatamente acessa e altera qualquer arquivo ou configuração do sistema?"
Sim, você deve investigarpolíticas de auditoria.
Responder2
Já usei o Trend Micro Antivirus em clientes antes. tem uma opção que você pode desativar unidades USB (exceto KB e mouse, é claro)