Задний план: Я работаю в финансовой компании с очень строгие правила безопасности. Мы сейчас находимся в сценарии, когда нам нужно включить режим кэшированного обмена для нескольких наших удаленных офисов. Однако наш отдел IRM (управления информационными рисками) доставляет нам некоторые проблемы, потому что они не хотят брать на себя риск того, что электронная почта людей будет кэшироваться локально на их рабочих станциях без какого-либо мониторинга. Если в игре есть какой-то тип мониторинга или безопасности, они будут в порядке.
Кто-нибудь здесь испытал такой сценарий? Кто-нибудь знаком с какими-либо возможными способами контролировать это или уменьшать риск?
Вы можете подумать, что это немного радикально (хотя вам не следует), но я видел, как использовал полное шифрование диска, на всех рабочих станциях (настольных и портативных), интегрированных в процесс входа в Windows. (Это может быть полезно / необходимо в соответствии с вашими правилами безопасности в любом случае для файлов, помимо электронной почты Outlook.)
Если устройство удалено из сети и не может успешно пройти аутентификацию в сети как на уровне компьютера, так и на уровне пользователя, доступ к незашифрованным данным отсутствует, поэтому даже если электронная почта Outlook / Exchange была кэширована локально в файле * .ost , он не будет доступен.
Одна реализация, с которой я был знаком, по сути, просто защищала процесс загрузки Windows. То есть, все было зашифровано, но не было другого запроса для ввода учетных данных для пользователя, кроме обычного экрана входа в Windows. Если вам не удалось успешно войти в домен, значит доступ к данным на компьютере отсутствует. Попытка использовать альтернативное загрузочное устройство и т. Д. Не даст ничего, кроме зашифрованного диска.
Кто-нибудь знаком с какими-либо возможными способами контролировать это или уменьшать риск?
Как и в любой среде, где под вопросом физическая безопасность машин, используйте FDE, и требовать, чтобы сотрудники выключали свои рабочие станции, когда они уходят на день. Похоже, вы магазин Windows, поэтому вы, вероятно, захотите изучить Bitlocker. Он хорошо интегрируется с Active Directory, позволяя хранить ключи восстановления в AD.
Если ваши требования к безопасности настолько строги, насколько вы их себе представляете, FDE - это то, с чем вам, вероятно, все равно следовало бы разобраться.