Мобильная безопасность

Озаботился я тут насчет мобильной безопасности. Ведь не секрет, что ныне современные гаджеты - смартфоны и планшеты никем не контролируются  и с  помощью этих устройств можно достаточно легко "украсть" конфиденциальную информацию. 

Я задал себе теоретический вопрос: "Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Вариантов разумеется два - запрещаем и не запрещаем. Постараюсь изложить ответы на данные два варианта. Исходя из этого уже можно начинать планировать и реализовывать систему защиты.

1. Если запрещаю

Если ответ предполагает -  "Запрещено", то следует сосредоточить усилия именно на том, чтобы конфиденциальная информация не появилась на мобильных устройствах сотрудников. Для этого необходимо предпринять определенные шаги:

1. Разработать и довести до сведения сотрудников "Политику допустимого использования" (так называемую Acceptable Use Policy), в которой в явном (!) виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
2. Обеспечить контроль и блокирование передачи конфиденциальной информации на устройства. По сути, это будет что-то типа контроля утечки информации за счет:

• передачи файлов по электронной почте; 
• выкладыванию файлов в сети Интернет;
• передачи данных напрямую на устройство при подключении;
• созданию устройством дополнительных сетей (например wifi) и передача данных по ним

3. Запретить и контролировать отсутствие на компьютерах запрещенного/не разрешенного программного обеспечения (различные "синхронизаторы" (iTunes, Activesync и пр.), облачные хранилища (iCloud, DropBox, GoogleDrive, Яндекс Диск, SkyDrive и пр.), средства удаленного доступа (TeamViewer, PC Remote Control и пр.), и другие, с помощью которых можно передать на мобильные устройства конфиденциальную информацию).

4. Пересмотреть подход к предоставлению удаленного доступа к корпоративным ресурсам и сервисам.

Достаточно малореалистичный вариант запретить проносить мобильные устройства на работу и контролировать этот запрет. А риск фото/видео/аудиозаписи рассматривать предпочтительнее отдельно и скорее принимается во внимание.

2. Если не запрещаю

Обращаю внимание на термины - "Не запрещено", а не "Разрешено". Разные вещи, не так ли? С чем это связано? Во многих компаниях на использование мобильных устройств сотрудниками смотрят "сквозь пальцы", в явном виде ничего не запрещая, но и не разрешая. При этом часто сотрудники имеют доступ к корпоративной электронной почте, календарю и списку контактов, а также могут обрабатывать конфиденциальные документы на своем гаджете. Оценка рисков такой обработки обычно не проводится. Чревато последствиями? Еще как.

Ну вот, если отвечаем "Не запрещено", то следует сосредоточить усилия на управлении рисками и инцидентами.

Первым делом необходимо понять область (scope), для этого следует четко определить:

• Перечень информации и ИТ-сервисов, которые могут быть доступны сотрудникам.
• Перечень устройств, которые могут использовать сотрудники. Тут важно понимать, это будут корпоративные устройства или еще и личные, а также перечень операционных систем (это нам необходимо для понимания рисков и выбора конечного решения).

После сбора первичной информации следует оценить возможные риски и еще раз ответить на вопрос "А все-таки, следует ли разрешить ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Если и сейчас ответ утвердительный, то необходимо:

1. Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
2. Обучить (повысить осведомленность) пользователей базовым принципам безопасности мобильных устройств (например, "не оставлять без присмотра", "использовать пароли", "установить ПО для поиска/блокирования устройства и стирания информации", "решить с антивирусной защитой" и пр.).
3. C учетом оценки рисков выбрать и внедрить дополнительные средства защиты и управления мобильными устройствами. 

Обращаю внимание, что пока вы не пройдете все шаги, то выбирать дополнительные средства защиты не особо целесообразно...
Хотя конечно данное эссе из области фантастики, но надеюсь пригодится не только мне.

Читать далее ...

Конфликт раскладок клавиатуры - терминал Windows Server 2008 R2

Наблюдал сегодня проблемку: У пользователей по RDP на базе Windows Server 2008 R2 - две языковые панели. Одна с текстовым индикатором (RU|EN), вторая - с изображением клавиатуры.
В большинстве случаев причина банальна - RDP клиент "подхватывает" тот язык, который был включен на удаленном компьютере в момент подключения. И если он не соответствует языку, установленному по умолчанию на терминальном сервере, возникает конфликт, приводящий к необходимости двойного переключения раскладки.
Решение простое:
На терминальном сервере от имени админа внести изменения в реестр в ветке HKLM\System\CurrentControlSet\Control\Keyboard Layout: создать параметр IgnoreRemoteKeyboardLayout типа REG_DWORD(32bit) и установить значение 1.

Ребут и вуаля, только одна языковая панель.

Читать далее ...

Сводка разрешений NTFS

Read 
Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки 

Write Разрешения чтения, плюс создание и перезапись файлов и папок 

List (Folders Only)
Позволяет просматривать имена файлов и подпапок внутри папки 

Read & Execute Чтение разрешений и запуск программных файлов 

Modify Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки 

Full Control Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения 

Special Permissions Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize 


Детальные разрешения NTFS 

Traverse Folder / Execute File Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке 

List Folder / Read Data Обеспечивает просмотр имен файлов и подпапок в папке. List Folder воздействует только на содержимое папки -- оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение. Read Data позволяет просматривать, копировать и печатать файлы 

Read Attributes Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden) 

Read Extended Attributes Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression) 

Create Files / Write Data Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам) 

Create Folders / Append Data Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам) 

Write Attributes Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты. 

Write Extended Attributes Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты 

Delete Subfolders and Files Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу 

Delete 
Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке 

Read Permissions Позволяет читать разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет прочитать сам файл 

Change Permissions Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл 

Take Ownership Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения 

Synchronize Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу

Читать далее ...

На фоне России Москва живет плохо....

Побывав в отпуске, я пришел к такому неординарному выводу - Москва живет плохо. Регионы динамично развиваются и по уровню комфорта давно догнали Москву. На вскидку :

1. Уровень доходов. Уровень доходов конечно пониже в регионах, но там нет такой нелепости, как 80% доходов тратить на аренду недвижимости. По количеству иномарок регионы ничем не уступают Москве. В сухом остатке – в регионах больше денег останется на «отложить» и прочее. А учитывая космические цены на все в Москве, в регионах можно больше «разгуляться».2. Позитивные эмоции. За две недели  я привык к улыбкам на улице. В Москве спустившись в метро, наблюдаются в основном замученные и уставшие лица. Скотская жизнь в погоне за рублем «убивает» души… Город давит своей негативной энергией, т.к. реализовать свои мечты получается лишь у 5%, 95% в пролете. В провинции люди добрей...
3. Гастарбайтеры. Ничего не имею против выходцев с ближнего зарубежья, но в Москве их скопление превышает все допустимые нормы, иногда можно подумать, что ты живешь где-нибудь в Азербайджане, Таджикистане и etc… В регионах их в сотни раз меньше.
4. Пробки. В Москве пробки уже приблизились к ежедневным 8 баллам. В Москве иметь автомобиль практически уже не имеет никакого смысла. В Регионах можно спокойно получать удовольствие за рулем, если пробки и есть, то они незначительны.
5. Красивые женщины. В Москве девушкам видимо некогда за собой следить (тоже наверно надо работать на аренду), в регионах намного больше ухоженных и красивых женщин.
6. Город одиноких. Многие парни и девушки в Москве почему то испытывают проблемы с поиском пары, в регионах с этим проще…
7. Недвижимость. Обзавестись своей квартирой намного проще в регионах. То что платиться за аренду в Москве, вполне может стать оплатой ипотеки в регионах. Про купить квартиру в столице даже и не поднимается вопрос...
8. Нищета. Сколько нищих можно увидеть в Москве за день, столько в регионах их не увидишь за месяц.
9. Экология. В регионах я видел белый снег, в Москве он в лучшем случае серый...
10. Из плюсов в Москве только культурная программа и карьерный рост для 5%. В остальном город уже давно стал не комфортным. Пора валить из Москвы в регионы!

Читать далее ...

Ограничение количества правил в Outlook 2010

Насоздавал сотрудник правил в оутглюке, начало выдавать ошибку:

Устранить данную проблему можно увеличив память для правил в Outlook, для конкретного пользователя.

Для начала посмотрим сколько выделено памяти для правил у пользователя, для этого запускаем Exchange Management Console и запускаем команду:

Get-Mailbox username | ft name, RulesQuota

По умолчанию используется 64 Кб. Для того чтобы увеличить память для правил вводим команду в Exchange Management Console:

Set-Mailbox -identity username -RulesQuota 256Kb

username- логин пользака.

Тем самым мы увеличим память до 256Kb (это максимальное значение для правил).

Если и этого места  мало, рекомендуется уменьшить название правил или пинать пользака, что бы убрал часть правил.

Читать далее ...

Outlook Express в Windows 7

Захотелось мне тут на рабочем компьютере еще один почтовый клиент. Можно конечно порыскать по инету и найти много платных и бесплатных почтовых клиентов. Но хотелось "родного". В Windows XP есть Outlook Express, а в Windows 7 - нет. 
Не порядок однако. Но как говорится - кто ищет - тот найдет, и я нашел пресловутый Outlook Express в Windows 7.

На смену Outlook Express в Windows 7 пришла Почта Windows Live. Интерфейс новой почты позаимствован у последних версий Office. Хотелось бы верить, что Почта Windows Live не унаследовала главного бага Outlook Express. Давно известны её нехорошие наклонности.

Почта в Outlook Express (входящие, исходящие, удаленные и т.д.) хранится в отдельных файлах *.dbx - достаточно любому из них достигнуть размера 500 Mb, как пользователь прощался со всеми сообщениями, соответсвующими данному файлу. Штатных средств восстановления Microsoft не предлагала, хотя у сторонних разработчиков они имеются, естественно не бесплатные.

В главном меню в строке поиска пишем -  почта. Жмем - Получение основных компонентов Windows Live из Интернета.

Откроется страница браузера, где предложат загрузить установщик Windows Live.

 Я выбрал ручной, что бы не ставить лишнюю дребедень.

Собственно сам процесс установки, достаточно тривиален.

В целом новая почтовая программа от Microsoft прикольная. Это уже не тот примитивный и страшненький Outllok Express, к тому же добавлена поддержка нескольких почтовых ящиков.

Читать далее ...