一个简单的问题,我似乎无法find答案。 如您所知,Windows Server允许您为RDP会话设置自动注销。 是完全禁用它(允许RDP会话永久存在),在ePHI的虚拟环境中,安全风险/ HIPAA违规?
有问题的虚拟机位于完全configuration的Juniper防火墙之后,对RDP访问有IP限制。
我们无法回答您的环境。 您需要合规人员来检查整个系统。
请注意,自动注销在规定中明确提及:
自动login – 第164.312(a)(2)(iii)
如果本实施规范对于涵盖实体是一个合理和适当的保障措施,则涵盖实体必须:
“实施电子程序,在不活动的预定时间后终止电子会话”。
想一想:这将让用户无限期地在屏幕上显示敏感信息。 考虑你自己的病史。 如果这是不可取的,你将如何解决?
更重要的是,HIPPA安全系列论文描述了一个全面的策略。 行政程序,人身安全,技术保障,文件和风险pipe理。 如果工作人员向候诊室发出信息,networking安全并不是什么好事,也没有技术上的解决scheme。