你如何决定允许用户控制什么? 有了一个特定的function(例如,设置文件夹上的共享,在电子邮件中附加某些文件types,安装USB设备)是否有最佳做法规则来帮助衡量风险与奖励?
其次,你是否默认locking某些东西,直到被要求/要求,或者允许什么东西被允许,直到出现问题? 如果它不是全部或者另一个,那么是什么指导你决定设置哪个默认值?
回想一下TRON的教训。 系统应该被devise为服务用户。 您的总体目标应该是创build不妨碍员工生产力的可用系统。 请记住,在IT中,我们促使业务不能控制它。 你最好的指导是保持业务顺利运行,并提供生产和快乐的terminal用户所需的工具,以完成工作。
为了达到这个目的,你需要很好的理解用户将要做什么。 如果你的用户的日常工作需要或多或less的function,你甚至可能需要将用户分组。 根据这些组和作业function创build策略。 与正在做这项工作的人交谈,了解他们的stream程,以确保您的系统能够帮助他们进行正常的日常工作。
接下来仔细考虑你的安全。 一个不安全的系统最终会成为一个马上被恶意软件攻击的怪兽。 一个完全安全的系统是一个永远不会打开,完全无法使用的系统。 您需要find不是中间立场,而是您的用户在您的组织中需要的平衡,并让他们易于使用和安心。
安全性应尽可能透明,并在激活时向用户提供明确的反馈。 一个很好的例子是运行透明代理的网关/防火墙设备。 configuration该代理以扫描病毒,阻止恶意软件并阻止垃圾邮件。 当代理阻止内容时,您应该清楚地指出最终用户发生了什么以及为什么。 不要提供所有的技术细节,而是给出一个明确措辞的解释。 通过这种安全性,用户应用程序的设置不需要特别的工作,用户不需要过多考虑安全性,而是为网关增加了价值和安全性。
当你终于明白正在完成的工作以及你需要做的事情以便安全地完成工作时,你可以开始根据你所学的知识来创build一个策略。 确保每个人都知道政策是什么,并获得尽可能多的反馈,以不断改进您的安全策略和IT实践。 要小心,不要把你的安全策略看成是写在石头上的。 他们必须足够灵活,让您的企业根据需要改变方向,保持竞争力,同时保持您的核心安全原则。
最后的想法。 开始 – 没有进程,服务器,设备或事物应该不安全,直到安全被破坏。 如果你在这种模式下工作,那么你已经失败了。 – 祝你好运
你如何决定允许用户控制什么?
根据我的经验,这需要一个委员会。 即使组织内部有一个单独的信息安全办公室,这种事情也需要很多人的参与,才能实现细节。 无论您最终使用哪种locking系统,都必须具有足够的灵活性,以便轻松处理始终出现的特殊雪花。 使用一个太钝的locking系统(在我看来,AD GPO被认为是“太钝”了),为了满足less数真正的需求,你最终会给予大量的例外。
也就是说,在进入这一系列会议之前,你如何build立你想要限制的事项清单? 首先需要确定目标。 找出你想要完成什么样的事情。 与“防止未授权的软件安装”不同,“防止恶意软件感染”与“防止商业机密泄露信息”不同。
一旦你有一个目标列表,开始通过你的locking产品的设置,并找出它可以做什么。 大学计算机实验室使用了一些最严酷的软件包来保持它们的清洁,并且在那个环境中通常是有效的。 这样的软件包在企业环境中很less有用,因为它们对于一般用途来说太钝了。 其他产品挂钩到GPO机制允许相同types的限制,但在一个基于组的基础上,这使得它比本地AD更细粒度的方法。 还有一些人使用自己的方式来locking。 所以要了解你的产品可以做什么。
现在你已经列出了你想要完成的事情以及你实际上可以做什么,现在是时候开始重新确定将要closures的东西了。 如果可能的话,从一个策略开始,有效地说,“每个用户每天早上都会得到一个新的映像工作站,并且无法对其进行任何更改”,然后从这里扩展。 一些用户将需要持续的软件安装。 或USB连接的多function设备。 或者多个网页浏览器来实现与工作相关的目标。 弄清楚需要什么东西才能让你的企业function需要一些时间,所以testing数字也进入这个过程。
您询问了有关最佳做法的指南。 不幸的是,这些往往是特定于应用程序。 我见过的最佳实践指南是更一般的,抽象的东西,如“防止未经授权的软件安装,以最大限度地减less浪费的帮助台时间”,而不是“禁用运行提示”。 正因为如此,有许多像AD GPO这样的最佳实践指南,而Novell ZenWorks等则没有那么多。
就我个人而言,我认为最好的策略就是把所有东西都放在首位,然后慢慢开始,直到用户可以完成工作。 如果有特殊情况(通常是这种情况),那么可以考虑这些情况,并在可以被认为是安全的环境中采取行动。
大多数情况下,您所描述的问题(设置共享,发送文件types,安装设备)通常暗示这样的事实,即他们可能是更好的方式。
例如:
设置共享 – 为什么没有需要访问的文件的集中存储库? 发送文件types – 我们是否真正充分利用了我们的软件? 安装设备 – 是否所有的用户都需要这个function? 为什么?
我不认为这是一个风险与奖励制度。 想一想系统如何作为一个整体,哪些部分被要求改进,最重要的是为什么这些改变可能是必要的。
就买入而言,我是第二个sysadmin1138,但还有另外一个理由来获得input – 根据你的组织,你可能实际上并不知道你所有的用户每天都在做什么。
我作为开发者看到的一些问题是
在上述情况下,即使您没有真正听取他们的意见,也至less会听到开发者的意见。
总的来说,我认为开发者(和数据库pipe理员)根本不应该接受任何封锁。 但是他们当然可以访问一个locking的用户帐户(也是一个标准的桌面版本),否则你会冒着一些风险,只会在他们的机器上工作。
对于广大的用户群体,陈先生曾经说过,“政策与安全不一样”,在devise任何locking时都需要牢记。 locking的目的是保持手指远离系统的某些部分,如果被篡改可能导致增加的支持开销,而不是分配权限或限制。 所以logging这些部分,并从那里build立你的locking。
你也需要提供一些一般的常识进入决策。 除非你有一个无底洞的钱,否则你可能不会备份正常的用户桌面,所以尽你所能阻止他们将文件保存到他们的C驱动器(你可能需要花一些时间来说服某些高级pipe理人员这样做是实际上不如将它们保存到networking中更安全)。 如果帮助台人员正在尝试进行一些故障排除,那么您的locking是否会对其造成干扰? 面向公众的机器应该有一个标准化的壁纸集? 如果用户被允许在非公众的机器上更换墙纸,这真的很重要吗?
还有一件事要深入研究 – 假设你的意思是组策略 – 是“用户权利分配”节点。 我有一个拒绝交互式login到某些用户帐户(例如服务帐户)的一般做法。 使用通用帐户进行交互式login是一件不好的事情,因为实际上最终的审计线索是毫无价值的,所以这里有机会在它成为问题之前阻止它。
最后,保持尽可能less的locking级别。 它使事情变得更容易pipe理,与GPO和其他这样的乐趣冲突的风险更小。
这里已经有很多很棒的评论。 我只是扔我的两分钱。
我认为你们最主要的问题是你们没有一个真正的安全政策,或者你们所拥有的安全政策显然是非常不足的。
你是否默认locking某些东西直到它被要求/要求,或者留下什么东西,直到出现问题
这两种方法都是实施安全的可怕方法。 如果你把所有的东西都锁住了,人们不得不抱怨工作,那么他们不仅会感到沮丧和愤慨,而且如果pipe理层因为你的locking而无法完成工作,你将会失业。 如果你做了一切事情,只在事情出错后才实施安全措施,那么公司正在为自己的资产带来不必要的风险,再一次…你将承担全部的责任。
实施安全政策的整体思路是:
1)每个人都必须知道并遵守这是一份有文件logging的公司政策。
2)所有利益相关者都参与并形成了pipe理支持。 与政策相反,您有责任自行任意组build,并在出现问题时受到指责。
首先,您必须了解用户的业务需求。 没有“最佳实践”,或者我应该说“最佳实践”有些不恰当。 正如大家已经说过的,没有一个适合所有安全政策的想法。 你的最佳做法当然不会离我很近。 你需要找出你的用户需要在他们的机器和networking上做什么工作(他们的业务需求),以便你可以做你的工作。 所以出去找出来。 成立一个委员会,发出调查问卷,与利害关系人面谈,在首席执行官的桌子上牺牲一只羊,任何适合你的工作场所。
一旦你有业务需求,你需要问自己一些问题。
你想保护什么? 你是保护销售桌面还是开发人员的机器? 这些将有非常不同的业务需求和安全方法。
你想保护谁? 恶意的员工…外人…自己的用户?
有什么风险? 这些资产对公司有什么价值? 如果没有或几乎没有风险或价值,那么值得花费人力时间或金钱来保护? 要保护多less钱? 这些types的问题可能必须由上级部分回答。 IT通常不能决定公司愿意承担多less风险,只有当他们拒绝您的build议时,您才能向他们请求不要承担太多的风险和CYA(以书面forms)。
一旦完成,就会logging政策并酌情采用技术控制和/或书面的公司政策来实施。
这是该过程的简要总结。 整本书都记载了形成,编写和实施安全策略的过程,我强烈build议你阅读一下!
风险与奖励分析。 对于任何您可能为用户禁用的特定function,请考虑您将失去解决问题的多less时间,出现问题的可能性以及用户花费多less时间才不具备该function。 调整你的时间和用户的时间的相对价值(locking门卫的个人电脑比CEO的更多)。
*您可能需要为非工作生产力期望分配一个任意值。
你如何决定允许用户控制什么? 有了一个特定的function(例如,设置文件夹中的共享,在电子邮件中附加某些文件types,安装USB设备)是否有最佳做法规则来帮助衡量风险与奖励?
每个组织都有不同的风险容忍度 你需要找出你的组织适当的风险承受水平,并决定风险与回报的对比。 通常安全的一般比较是方便的。 在方便和安全之间几乎总是有直接的关系。 因此,如果你没有权力这样做,那么要问那些作出这些决定的人的问题是“将限制这样做会使人们的生产力降低,直到商业成本大于允许它的风险?”
其次,你是否默认locking某些东西,直到被要求/要求,或者允许什么东西被允许,直到出现问题为止? 如果它不是全部或者另一个,那么是什么指导你决定设置哪个默认值?
再次,这是主观的,不是客观的。 一些组织的[严厉的]政策将决定一切都是受限制的,除非有特定的商业理由允许。 其他组织将允许任何不会对业务和生产力造成负面影响的事物。 最安全的政策往往是限制一切,但容易要求允许。 这样,您可以保持更高的安全性(也可能是审计)状态,同时仍然可以让那些可能需要访问某些内容的用户轻松获得访问权限。
易于使用的票务系统使得跟踪(以及保持审计就绪状态)变得更加容易,而且用户不太可能会对pipe理层发起骚乱,使他们无法完成工作。
目前我们还没有locking我们的任何员工机器,但接近将我的文档和其他一些常用文件夹移动到一个单独的分区,然后用Windows SteadyStatelocking机器的其余部分…至less对于某些用户。
决定因素是最近的恶意软件感染。
SteadyState是免费的,可让您限制允许用户执行的操作,并让您locking驱动器,以便每次重新启动都能使机器恢复到预先configuration的状态。
一个尺寸不适合所有。 将用户划分为两个维度:他们需要做什么才能做好自己的工作(容易理解)以及他们能够处理的事情,而不会使networking处于风险之中(难以理清),然后相应地locking。
一个大小适合所有严格的locking将对那些不知道点击电子邮件中的随机URL的用户感到愤怒,并会驱使他们为你(连接到stream氓服务器的stream氓WiFi)build立解决方法,以便他们连接到你的networking,造成更多的问题。
应用最小特权的原则 。 给他们做这项工作的权利,不要再多也不能less。
确定您拥有的用户types以及您可以进行的任何分类。 例如,如果您的开发人员使用Visual Studio 2005,则应该使用本地pipe理员帐户运行,这意味着您可以对该系统执行的操作非常有限。 但是,只需要Microsoft Office的最终用户,您可以做很多事情。 这里的技巧不是太细致。 你可以通过用户来定义用户,但是在pipe理上你会自杀。
一旦你完成了分区,找出是否有一些普遍的东西(如没有USB /便携式驱动器),可以广泛应用于整个环境,但有一些例外。 在没有例外的情况下构build这些全局策略(或使用GPOsorting等机制,在有例外的情况下可以撤消设置)。 不仅在技术上,而且在牙齿安全政策。
然后开始下去个别类别。 找出需要什么,并确保他们有机会做到这一点。 locking其他所有没有被全球政策覆盖的合理内容。
你如何决定允许用户控制什么?
1)用户需要控制什么来完成他们的工作?
2)什么不重要? (例如,如果某个angular色中的客户永远不会看到他们的电脑桌面的人想要select他们自己的桌面壁纸,那真的很重要吗?)
3)在不影响用户的情况下,可以locking哪些内容以方便pipe理系统?
4)在某种程度上应该locking什么来防止用户进入“死胡同”(例如隐藏选项以打开来自PC的传真支持,如果这在您的LAN上永远不会工作,以阻止用户浪费他们的时间尝试使用它和你的时间处理请求,以帮助使其工作)