Обычно для обеспечения безопасности серверов нужно многое сделать, так как там хранится много конфиденциальной информации, но я думаю, что важнее убедиться, что корпоративные ноутбуки (и USB-накопители) в безопасности, так как их легче потерять. (или украсть).
Итак, я хочу знать: Что делает ваша компания для защиты конфиденциальной информации на ноутбуках и usb-накопителях?
Мы используем TrueCrypt. Для ноутбуков мы также настаиваем на пароле BIOS.
Шифрование всего диска.
Для этого есть несколько способов.
Я лично использовал TrueCrypt, но есть еще много вариантов страница википедии.
Еще я работал в бухгалтерской компании, которая PointSec (Сейчас Check Point). Их решение казалось гораздо более полным, чем truecrypt, но, конечно, за это приходится платить.
Я использовал продукт под названием SafeGuard Easy от Utimaco. Вы не могли загрузить ноутбук без предварительного ввода пароля. Он также зашифровал весь диск. Если кто-то пытался взломать пароль, он постепенно увеличивал тайм-аут между попытками (примерно в 3 раза больше тайм-аута для каждой попытки, поэтому у него была бы сумасшедшая долгая задержка даже после нескольких неправильных попыток). В нем было несколько хороших инструментов для удаленного разрешения входа в систему, если кто-то был заблокирован с помощью сгенерированного ключа, и он позволял вам устанавливать политику истечения срока действия для пользователей.
У них было несколько инструментов командной строки, так что вы могли протолкнуть эти изменения внутри файла конфигурации, что было приятно, поскольку мы могли автоматизировать это с помощью основного приложения, которое они запускали на ноутбуке. Если ноутбук пропадет, мы знали, что срок действия пользователя / пароля истечет в течение недели (даже если они знают пароль), они в конечном итоге будут заблокированы.
PGP-шифрование всего диска
Во-первых, не позволять ему попасть туда (по крайней мере, это то, над чем мы работаем ...). Технологии и способы работы и использования компьютеров меняются - теперь вполне разумно иметь постоянный доступ в Интернет из любого / большинства мест, где может находиться пользователь, либо через проводное соединение на работе, либо через беспроводное соединение. сети, или передав им ноутбук со встроенным адаптером широкополосного доступа 3G. Поэтому вы можете отключить использование USB-накопителей через Windows GPO и предоставить им доступ к данным через VPN, возможно, просто используя приложения через службы терминалов (или VNC / SSH, или что-то еще) и используя любые факторы безопасности, которые вам нравятся.
настоящие виртуальные диски крипт. Мы можем управлять ими, создавая резервные копии заголовков на случай, если пароль будет потерян, и, поскольку они просты в использовании, нет проблем с тем, чтобы пользователи использовали их. Имейте в виду, у нас всего 5 человек
Мы используем решение для шифрования всего диска со встроенной системой единого входа. SafeGuard - одно из таких решений. Это позволяет пользователю войти в систему один раз, то есть сразу после завершения POST. Если вы введете неправильный пароль, время между попытками ввода пароля продолжит удваиваться. И если вы перезапустите, он останется на том же уровне, что и последний период времени, но начнет его заново. Таким образом, грубая форсировка невозможна. Если пользователь вводит правильный пароль, он регистрирует их на компьютере с тем же комбинированным именем пользователя и паролем (или кэшированным набором учетных данных).
Это не остановит случай, когда пользователь загрузится, а затем оставит ноутбук разблокированным, но он действительно защищает диск «в состоянии покоя».
Не шутя, но лучший способ - это вообще не помещать это туда. (Согласен с Дэвидом Хиксом).
Подумайте об этом так: если бы ноутбук был украден или утерян и содержал все секреты вашей компании - как бы вы себя чувствовали? Даже если вы используете TrueCrypt со сверхнадежным паролем ... у вас всегда будут эти сомнения.
Рассмотрите возможность рекламы; пресса смотрит на вещи упрощенно. Они сказали бы: «Корпорация Acme теряет ноутбук с 30 000 учетными записями сотрудников». Тот факт, что он был хорошо зашифрован, может оказаться недостаточным для предотвращения ущерба репутации.