Я работаю в консалтинговой фирме с разветвленной сетью ИТ, где в любой момент времени работает около 150 пользователей на разных сайтах клиентов. По мере роста нам потребовалась возможность удаленно отключать доступ пользователей к ноутбуку компании. Есть ли что-то, что помешает этому пользователю войти в свой ноутбук после того, как его учетная запись будет отключена в Active Directory. Как мне объяснили, ответ в основном такой: «Только когда связь с AD не будет установлена». либо через VPN, либо через один из наших основных филиалов. Это верно? Существуют ли сторонние приложения, которые могут облегчить это? Я лично не могу разобраться в ситуации, когда это возможно сделать без минимальных требований активного сетевого подключения.
Мы столкнулись с той же проблемой с нашим удаленным персоналом, работающим на дому, когда кто-то увольняется или увольняется.
Наше решение состоит в том, чтобы в основном предположить, что, поскольку они имеют физический доступ к ноутбуку, нет смысла пытаться удаленно отключить их учетную запись (простой загрузочный компакт-диск может снова предоставить доступ к жесткому диску). Вместо этого мы просто удаляем весь удаленный доступ к нашей сети (учетные записи VPN, AD), чтобы они больше не могли получить доступ к защищенным ресурсам.
Я предполагаю, что удаленному человеку нужно как можно быстрее отказать в доступе к файлам компании и / или клиента, что говорит о том, что что-то в системе доверия не работает. Поскольку это ИТ-консультанты, я ожидаю, что они будут знать по крайней мере некоторые из множества способов получить полный доступ к компьютеру. Если им нельзя доверять информацию на компьютерах, я бы посоветовал им также не доверять, чтобы они были хорошими маленькими мальчиками и девочками и не просто взламывали систему, что делает все упражнение немного бессмысленным.
Золотое правило доступа к компьютеру: человек, имеющий физический доступ к компьютеру, потенциально имеет доступ к тому, что на нем. Зашифрованные диски - ваша единственная надежда в таких обстоятельствах.
Установите все на зашифрованный раздел, который должен иметь доступ к ключу по сети с проверкой подлинности, что делает раздел доступным для чтения. Конечно, постфактум сделать это будет сложно.
Затем вы можете отозвать аутентификацию для этого ey в любое время или просто заблокировать этот запрос.
Вы полностью отключаете кеширование паролей в Windows, однако для этого потребуется, чтобы они имели доступ к сети до входа в систему.
У нас были похожие ситуации в нашей компании.
У вас есть два основных варианта:
Очевидно, что второй вариант требует некоторой подготовки, и ваш вопрос звучит так, будто у вас его нет.
Короткий ответ - нет." Причина в том, что без связи с каким-либо интерфейсом на вашей стороне, чтобы сообщить компьютеру, что произошло изменение статуса пользователя, компьютер не знает, что нужно выполнить действие. Даже с учетом сказанного, как указал Джон Гарденерс, если у них есть физический доступ, они все равно могут получить доступ к содержимому компьютера. Одно из правил безопасности из списка Microsoft - подходящее ... (перефразировано) «Если у меня есть физический доступ к вашему компьютеру, это уже не ваш компьютер».
Один из распространенных методов, если у пользователя есть права администратора, - это просто создать локальную учетную запись пользователя. Если у них нет прав администратора, все еще есть некоторые способы повышения привилегий до пользователя с административным уровнем и последующего создания учетной записи пользователя. Тогда все остальные методы остановки доступа игнорируются. Это иллюстрирует этот принцип безопасности.