环境:小型工程公司(<50 名员工),每个人都是计算机上的本地管理员,包括管理组中的每个人。
设置:一些标准安全功能已到位:NGFW、(N)IDS、(H)IDS、DLP、分段网络、每个客户端上的反恶意软件、本地 FW、Windows 更新、每个客户端上的自动第三方软件更新、锁定策略,所有服务器上的 OSSEC 代理。
问题:当恶意软件命中(确实如此!)时,当用户是管理员时,感染会更糟。
寻求的解决方案:保护管理组中的 VIP 免受恶意软件感染(或者更确切地说:感染整个计算机的恶意软件)。因为他们很容易被“鱼叉捕捞”
第一步当然是让他们成为标准用户。到目前为止一切顺利,但他们需要管理员权限以防万一(无需致电帮助台)。我愿意在交易期间将其提供给他们,但这并不像给他们一个本地管理员帐户那么容易,因为他们很可能一直只使用该帐户。如果他们绝对需要成为管理员,我正在考虑某种 OTP 解决方案或类似的解决方案,以给他们一个足够大的障碍来克服。建议?
我意识到恶意软件感染仍然是工程组的一个问题,但这是一个未来的项目。
这是一个常见问题,您必须记住的一件事是InfoSec 为公司服务。你的管理团队经营公司,所以他们的需求就是公司的需求。
你的工作是教育、教育、教育,不仅涉及技术细节,还涉及财务影响和风险分析。但是,最终,这是他们的电话。
如果他们仍然决定保留本地管理员权限,那么您需要制定一个计划来降低发生这种情况的风险,并就该计划的成本和风险对他们进行教育。
作为技术人员,宣扬“最佳实践”可能很容易,但即使您不同意,也需要为公司利益服务。教育、建立关系并制定后备计划,但归根结底是管理层的召唤。
给他们两台笔记本电脑:通用型和高安全性。
通用笔记本电脑有点像你描述的,安全性和可用性之间的平衡。事实上,您的安全措施非常好,肯定比平均水平要好。希望你能阻止常见的病毒,但你永远无法阻止高级攻击者。
高安全性笔记本电脑仅用于访问内部系统和执行敏感工作。没有网络浏览访问权限,因此没有基于浏览器的恶意软件的范围。你完全防火墙它,除了一个 VPN 连接回到基地。允许访问仅供 VIP 使用的内部文档存储。可能还有一个安全的加密电子邮件系统(请单独询问更多详细信息)。
从本质上讲,这是为笔记本电脑设置气隙,尽管它不是 100% 的气隙。您可以使用虚拟化或瘦客户端在一台笔记本电脑上执行此操作。这种部署很少见,但我开始在商业环境中看到它们。
如果你在某处工作,而高层人士愿意在你说“不”时支持你,那么限制管理的答案是最好的。另一方面,如果所有者/首席执行官坚持并且无法劝阻他们,则可能需要不太有效的策略。
大多数其他答案都更好,但我想添加一种我被告知的好方法。
CEO 有他们可以登录的普通用户级帐户,他们还获得了禁用登录的管理员帐户和密码(以防止他们将其用作普通帐户),但可以在用户想要提升时使用某物。
帐户和密码是这个主题的变体:
用户名:“这是一个病毒” 密码:“RunVirusNow!-&FDK£)S*SJK”
在讲述这个故事的人的情况下,感染问题急剧下降,因为用户必须面对这个问题才能运行任何实际上让他们思考片刻的东西。
我 100% 同意大多数其他答案,即您必须保护 VIP 免受自己的伤害;我见过的最严重的问题来自董事或 C 级管理人员,他们在工作电子邮件帐户上点击“我爱你”病毒。
也就是说,保护公司数据的道路上有一条细线,当跨越时,会触发简历更新过程。您必须教育他们,帮助他们,并尝试在业务限制范围内解决业务目标。
到目前为止一切顺利,但他们需要管理员权限以防万一(无需致电帮助台)。
这种“以防万一”,他们(正式)是否期望它经常出现?如果他们希望它很少见,那么他们不应该需要他们的主登录来拥有它们,这为您提供了多种选择。您需要利用您对他们和您的公司的了解来为“始终授予我们的主要帐户域管理员权限”以外的任何内容提出理由。
我对他们要求的“不联系服务台”部分有点好奇;服务台是否人手不足,是否存在筒仓/封地心态、个人摩擦或其他原因?您可能也想尝试解决这个问题。