Защита пользователей от самих себя

Будучи ИТ администратором, советником безопасности и компьютерным специалистом, в вашем списке должно быть совсем небольшое количество проблемных моментов для сегодняшней работы в сети, которые важнее безопасности. На борьбу с проблемами безопасности, несущими угрозу нашим сетям, сегодня тратятся огромные ресурсы, миллионы долларов, тысячи человек/часов и уйма времени на настройку компьютеров. К сожалению, ничего кроме реальности не сможет заставить вас задуматься о том, как на самом деле работает хорошее решение. Недавние исследования доказали, что хотя безопасность стала ключевым моментом для ИТ персонала, пользователи все еще находят способы того, как нарушить эту безопасность. Для всех этих проблем есть решения, а вы применяете их?

Как ваши пользователи относятся к безопасности

В конце 2007 года компания RSA проводила исследование. Опрос проводился специалистами-технологами на улицах Бостона и Вашингтона. Опрашивались обычные корпоративные пользователи Америки, им задавались обычные рутинные вопросы по поводу того, как они относятся к безопасности и о пользовательской практике обеспечения безопасности в офисах. Поскольку Бостон и Вашингтон являются большими городами с большим количеством огромных корпораций, количество которых превышает количество государственных учреждений, для исследования было набрано достаточное количество голосов. Исследование, в первую очередь, было сконцентрировано на том, как пользователи используют и получают доступ к корпоративным данным, и как они подходят к физическому доступу к компьютерам и ресурсам компании. Результаты опроса показаны в таблице 1.

Как видно из результатов этого опроса, количество денег, времени и усилий, затраченных на обучение сотрудников технологии безопасности и ресурсов, не приносят желаемых результатов. Однако если применять корректные физические, логические и прописные политики, многих из этих проблем можно будет избежать, даже если пользователь решает игнорировать соответствующие процедуры безопасности.

Физическая безопасность

Каждый профессионал в сфере ИТ понимает, что если физическая безопасность компании скомпрометирована, ресурсы, находящиеся под защитой, могут быть подвержены угрозе гораздо быстрее. Учитывая вопросы, заданные в исследовании, вот некоторые решения, способные помочь искоренить проблемы, связанные с физической безопасностью.

Держали дверь открытой на работе для незнакомых лиц?Забыли ключ-карту и были впущены в здание лицом, которое их не знает?

• Используйте идентификационные карты сотрудников.
• Используйте политику в письменном виде, которая заставит сотрудников носить и предъявлять свои ID карты постоянно.
• Устанавливайте считывающие устройства ID карт на каждом входе в здание, а также двери с ключами внутри здания.
• Поставьте охранника на главном входе для проверки ID карт.
• Установите камеры у всех внешних дверей, а также внутри здания у дверей, для которых требуется ключ-карта.

Заметили незнакомых лиц работающих в пустом офисе на территории здания? Попросили предъявить удостоверение или другим способом представиться?

• Всех посетителей, равно как и сотрудников, необходимо принуждать носить беджи ID на протяжении всего времени пребывания в здании.
• Если сотрудники и посетители будут иметь удостоверения, будет значительно проще отслеживать лиц, которые незаконно находятся в здании.
• Сотрудники должны иметь стимул сообщать о незнакомых лицах в здании и заставлять их носить идентификационные беджи.
• Знаки, напоминания, памятки и т.д. должны быть повсеместно, чтобы постоянно напоминать всем о том, что они должны носить ID карты.

Логическая безопасность

Даже учитывая такой огромный наплыв спама, вредоносного ПО, вирусов, Троянов и т.д., которые ассоциируются с электронной почтой, сотрудники все еще не обращают внимания на негативные последствия злоупотребления электронной почтой. Внедрение более строгих условий безопасности для электронной почты и прочего сетевого доступа поможет защитить сеть от пользователей, которые не используют хорошие методы безопасности.

Входите на рабочий почтовый ящик через общественные беспроводные хот-споты?

• Не предоставляйте никакого доступа к e-mail за пределами компании, если он не использует VPN или защищенное соединение.
• Настройте почтовый сервер на проверку и использование аутентификации только для локальной сети.
• Не позволяйте пользователям подключаться к своим рабочим компьютерам удаленно, если только они сначала не используют VPN.

Отправляют рабочие документы на личный почтовый ящик, чтобы иметь к ним доступ из дома?

• Используйте шифрование на все исходящие сообщения.
• Настройте фильтры уровня прикрепленных документов для всех исходящих сообщений. Это может не пропускать определенные типы файлов, а также содержимое прикрепленных документов.
• Блокируйте на корпоративных брандмауэрах принятие POP3, IMAP и прочие методы принятия электронной почты, входящей из-за пределов почтового сайта сотрудника.
• Внедряйте прописную политику, запрещающую пользователям использовать личные почтовые ящики в рабочее время.
• Используйте наглядные обучающие методы о том, какую угрозу для компании могут представлять собой внешние почтовые сайты.

Внутренняя беспроводная сеть, используемая для конференций и гостевых офисов компании, осталась открытой для доступа без логина?

• Настройте все беспроводные точки доступа на использование одного или лучше всех нижеприведенных пунктов: — Не передавать SSID, — Использовать фильтрацию MAC адресов, — Использовать более высокий уровень безопасности, такой как WPA и WPA2, — Применять RADIUS сервер для аутентификации, как показано на рисунке 1 (пример для одной точки доступа).
• Использовать смарт-карты для любого доступа беспроводной сети.

  

  Рисунок 1: Безопасность беспроводной сети может использовать предварительно переданные ключи и RADIUS сервер для аутентификации

Поменяли должность в рамках компании и все еще имеют доступ к ресурсам компании, в которых для них больше нет необходимости?

• Используйте процедуры найма и смены работы, которые будут принуждать владельцев ресурсов предоставлять информацию о доступе сотрудников к ресурсам.
• Используйте группы с ограниченным доступом, локальных пользователей и групп в групповой политике, чтобы контролировать принадлежность сотрудников к группам, как показано на рисунке 2.
• Используйте делегирование администрации в Active Directory, чтобы ограничивать уровень прав администрирования членов групп.
• Выполняйте регулярный аудит принадлежности к группам безопасности.

  

  Рисунок 2: Принадлежностью к локальным группам можно управлять с помощью PolicyMaker, в Windows Server 2008 или Windows Vista SP1

Вышли в ту область корпоративной сети, к которой у них не должно быть доступа?

• Используйте стимулирующие программы для продвижения методик безопасности, например, области сети, настроенные некорректно.
• Убедитесь, что NTFS разрешения настроены на всех сетевых ресурсах так, чтобы включать только соответствующие группы безопасности.
• Используйте только проверенные методы пользователей и групп в Active Directory. Как правило, пользовательские учетные записи помещаются в группы с присвоенными именами и используемыми для группировки однотипных пользователей, расположенных в Active Directory. Затем эти группы помещаются в другие группы с присвоенными именами и используемыми для назначения разрешений, расположенных в Active Directory или локальные группы, расположенные на сервере с ресурсами. Наконец, ресурс настраивается в соответствии с группами, используемыми для назначения разрешений.
• Используйте Access Based Enumeration (перечисление на основе доступа) для всех серверов Windows Server 2003, на которых хранятся данные.

Резюме

Многие из этих мер и решений ориентированы на прописную политику. Прописная политика должна быть строгой и четкой касаемо возможных нарушений и последствий несоответственного поведения. Для внедрения безопасности с помощью технических средств некоторые решения потребуют изменения того, как пользователи получают доступ к сети и данным. Безопасность никогда не была простой, веселой и без жалоб. Однако если ей вовремя не уделить внимания, многие компании закончат так же, как и те, что показаны на рисунке 1, который указывает на практически полное отсутствие безопасности.

Источник www.windowsecurity.com

• Журнал системных событий
• Как создать контакт в active directori?
• Принт сервер на Windows server
• Управление папками в Windows vista
• Как выключить службу рабочая станция?

Tags: imap, mac, vpn, Windows Vista