Я хочу усилить безопасность офисной сети. Помимо очевидного: физическая безопасность, ограничение привилегий пользователей с помощью Active Directory, запуск брандмауэра, который выполняет проверку пакетов с отслеживанием состояния, и запуск антивирусного ПО; я хотел бы запретить пользователям копировать файлы на USB-флеш-накопитель и брать их домой или клонировать жесткий диск или просто извлекать жесткий диск из рабочей станции.
Я могу заблокировать все сайты электронной почты с помощью Dell SonicWall, чтобы сотрудники не могли отправлять себе по электронной почте конфиденциальные корпоративные данные, но что мне делать с USB-накопителями? BIOS на рабочих станциях не позволяет их отключать.
Однажды у меня была клиентка, которая использовала компьютер в банке, на котором она работала, чтобы перенести фотографии со своей камеры на USB-флешку. Она пришла ко мне с жалобой на то, что не может открыть фотографии на USB-флешке на своем домашнем компьютере. Оказалось, что компьютер зашифровал фотографии, так что их можно открыть только на банковском компьютере. Как я могу сделать что-то подобное, чтобы сотрудники не могли удалить данные.
Я знаю, что Intel предлагает аппаратное шифрование дисков в системах с технологией vPro, но большинство наших рабочих станций не имеют этого. Есть ли способ сделать это программным путем? Будет ли полное шифрование диска вообще мешать сотруднику копировать данные на флэш-накопитель? Пожалуйста, дайте совет.
Также, есть ли способ зашифровать данные при передаче. Например: когда сервер делает резервное копирование на диск NAS, возможно ли зашифровать данные при передаче по сети и необходим ли вообще такой уровень безопасности.
И есть ли способ заставить сервер Windows вести журнал транзакций с указанием того, кто именно получает доступ к файлам или системным настройкам и изменяет их?
решение1
Ваш вопрос, вероятно, следует разбить на несколько вопросов, поэтому я не буду вдаваться в подробности.
«Я хотел бы запретить пользователям копировать файлы на USB-флеш-накопитель и брать их домой, клонировать жесткий диск или просто извлекать жесткий диск из рабочей станции».
Вы можете запереть корпусы рабочих станций, чтобы люди не могли вынуть жесткий диск. Это не помешает людям выбросить компьютер в мусорное ведро и уйти с ним (настоящее преступление на предыдущем рабочем месте).
Что касается флеш-накопителей, то вы можете заблокировать съемные диски через групповую политику.
(Изображение изЭта статья, которые могут оказаться вам полезными.)
«Помешает ли полное шифрование диска сотруднику скопировать данные на флэш-накопитель?»
Нет, для этого нужно заблокировать флешки.
«Кроме того, есть ли способ шифровать данные при передаче. Например: когда сервер создает резервную копию на диске NAS, возможно ли шифровать данные при их передаче по сети и необходим ли вообще такой уровень безопасности».
Стоит ли это того, зависит от того, что вы защищаете. Вы можете реализоватьIPSEC, в зависимости от вашей версии Windows.
«А есть ли способ заставить сервер Windows вести журнал транзакций с указанием того, кто именно получает доступ к файлам или системным настройкам и изменяет их?»
Да, вам следует провести расследование.политика аудита.
решение2
Раньше я использовал Trend Micro Antivirus на клиентах. В нем есть опция, позволяющая отключать USB-накопители (кроме клавиатуры и мыши, конечно).