Security Professionals - ipfw add deny all from eindgebruikers to any

Share laptop - zakelijk

07-11-2013, 16:16 door Morca, 5 reacties
Laatst bijgewerkt: 07-11-2013, 16:17
Beste lezer,

Bij het bedrijf waarvoor ik werk willen we iets verzinnen voor de laptops die we uitlenen. We willen dat de gebruiker de vrijheid krijgt, dat alles goed beveiligd is en dat bij verlies de impact zo klein mogelijk is.

Hier een paar opties:
- Freeze optie
Op de laptop’s die we uitlenen is een programma geïnstalleerd zo als Deepfreeze. Hierdoor wordt na elke restart de laptop weer in oorspronkelijke staat terug gezet.

Nadeel: Indien de laptop uitvalt of de persoon schakelt per ongeluk de laptop uit. Zullen alle files verwijderd zijn.

- Domain/Bit locker
Laptop’s die we uitgeven worden door policy’s dicht getimmerd. Door in te loggen kunnen mensen op hun eigen bureau blad de files die ze willen gebruiken openen. We beveiligen de laptop met bit locker

Nadeel: Mensen hebben geen vrijheid meer om software te installeren. Soms zijn tools nodig voor bepaalde handelingen en deze moeten ieder keer bij ICT worden neergelegd om dit mogelijk te maken. Tevens het gebruik maken van het domain zorgt er voor dat de gebruiker eenmalig MOET inloggen voor die extern zonder internet gebruik kan maken van zijn account. Ook moet eens in de zo veel tijd de accounts weg gehaald worden.(eenmalig inloggen is onhandig, ‘local credentials’ moeten nou 1x worden weggeschreven, zodat de gebruiker kan blijven inloggen, geen optie dus).

- Opnieuw inspoelen
Laptop’s die we uitgeven zijn open en bloot. Iedereen kan installeren en aanpassen wat ze willen. Bij terug komst spoelen wij de laptop opnieuw in. Hierdoor is de laptop weer in zijn oorspronkelijke staat.

Nadeel: Indien de laptops vaak gereserveerd worden, is het inspoelen qua tijd niet meer haalbaar.

We zoeken een gulle middenweg voor ICT en de gebruiker. We willen dat de gebruiker kan doen en laten wat ze willen. Hier willen we ze de ruimte geven. Tevens is het belangrijk dat de laptop weer in goede staat mee gegeven kan worden en wij als ICT niet te veel werk er aan hebben.

Ik hoop dat jullie nog ideeën hebben hoe je dit het beste kan aanpakken. Misschien dat mensen uit ervaring nog tips hebben.

Alvast bedankt voor het mee denken.

Mvg,
Marco
Reacties (5)
07-11-2013, 16:29 door Anoniem
Nadeel: Indien de laptops vaak gereserveerd worden, is het inspoelen qua tijd niet meer haalbaar.
Zoiets moet in een half uurtje gepiept zijn, en dan is het veel. Tenminste, als je je huiswerk doet. Probeer je het van installatiemedia met de hand, dan ben je wel een ietsje langer bezig, ja.

Maargoed, vertel eerst eens waar die laptops nou precies voor bedoeld zijn, en wat voor soort gebruikers ze dus waarvoor gebruiken?
07-11-2013, 16:53 door schele
Meer info?

Want afhankelijk van het doel en de functie van de laptop is er veel of weinig mogelijk. Wat is de doelgroep van gebruikers (IT voorkennis of helemaal niet), waar gaan ze de laptop voor gebruiken (gevoelige dingen of helemaal niet). En je noemt wel twee extremen, deep freeze waardoor iemand na een reboot alles kwijt kan zijn en de open en bloot optie.

Als je met een standaard image werkt dat na uitleen gerestored wordt kan er toch weinig mee gebeuren denk ik.
07-11-2013, 17:22 door Anoniem
Wat dacht je van een VM?

Of van een VPN-end-point oplossing?


Met beide hebben wij goede ervaringen, VM in-house (veiligheid bij verlies / diefstal is zwak namelijk) en VPN-end-point outbound (SMS-token iedere log-in).
07-11-2013, 19:54 door Anoniem
Zoals boven gezegd, maak gebruik van images met daarop de meest gebruikte software voorgeinstalleerd.
Een image is idd snel terug gezet.
Zorg er ook voor dat er 2 partities zijn.
- 1 voor OS en voorgeinstalleerde software
- 2 voor evt data en "eigen" software. Als de user portable apps heeft, of apps waar geen admin rechten voor nodig zijn, is dat dus geen probleem.

Maak idd gebruik van GPO's. Zet de uitleen laptops in een aparte OU.
Activeer folder redirection zodat de MyDocuments map en Desktop (en evt andere mappen) op D: komen te staan.
(Handig voor snel vinden van data om deze terug te zetten naar users eigen pc of share.)
Zorg er wel voor dat via de GPO (of loginscript) een aparte map voor de user wordt aangemaakt.
Zet in de GPO ook dat de temp mappen geleegd worden bij afsluiten.
Steld ook in dat de screensaver binnen een bepaalde tijd actief moet worden en dat de pc wordt gelocked.
Stel extra firewall rules in indien niet op bedrijfsnetwerk.
Stel ook in dat de virusscanner iedere dag (of 2x keer per dag, overdag + 's avonds) updates ophaald.

DeepFreeze is geen goed idee.
Users willen soms een laptop langer lenen dan 1 dag. Als ze op reis moeten bijvoorbeeld.

Je hoeft je niet druk te maken over het feit dat users eerst moeten inloggen voordat hun domain account een lokaal profiel heeft. De users moeten toch naar jou toe om de laptop op te halen. Kunnen ze inloggen en heb jij de gelegenheid om een paar huisregels bekend te maken. Enkele voorbeelden van huisregels: geen overbodige zooi installeren; laptop altijd locken; laptop (en tas) niet zichtbaar in de auto laten; laptop niet onbeheerd achterlaten; pas op voor meekijkers bij invoeren van pw of vertrouwelijke data; gebruik alleen encrypted usb sticks (Bitlocker to Go); laptop zo spoedig mogelijk inleveren.
Laat ze gelijk een formulier tekenen (en kopie naar de user) dat de user verantwoordelijk is voor de laptop. Ook handig als de laptop gestolen wordt, heb je gelijk alle gegevens. Zet ook in dat formulier dat de user aangifte moet doen bij de plaatselijke politie en dat hij zo spoedig mogelijk IT moeten waarschuwen. Jij hebt dan de gelegeheid om de users account te blokkeren zodat de dief in ieder geval geen toegang heeft tot het bedrijfsnetwerk (vooropgesteld dat er ook een vpn client op staat; of dat jullie webmail hebben dat van buiten te benaderen is; of via wifi als deze buiten het gebouw is op te vangen).
Zet de huisregels op de achterzijde van het formulier en laat ze die zijde ook tekenen (om te voorkomen dat ze niet bekend waren omdat ze de achterzijde niet hebben gezien).

Als de laptop terug wordt gebracht spoel je hem toch in. Het probleem van lang bewaarde lokale profielen is dan niet van toepassing. Ook ben je van de troep af dat users installeren.

Bedenk ook of de user support moet kunnen krijgen als deze op reis is. Een remote control tool is dan handig. Let wel dat alleen gebruik wordt gemaakt van software dat alleen door de user geinitieerd kan worden. Dus geen RDP of VNC. Teamviewer of WebEx bijvoorbeeld wel. Instrueer de user (handleiding). Zet indien mogelijk een pw op de instellingen. Zet ook jullie tel.nr (of van de helpdesk als je die hebt) op het formulier of adviseer deze in hun mobieltje te zetten.
Evt kan je een inleverformulier maken waarop staat dat de user verklaart alle lokale data te hebben gekopieerd en dat hij toestemming geeft om de laptop te wipen (handtekening + datum). Dit formulier kan evt dienen als ontvangstbewijs voor de user (kopie).

Nou, een heel verhaal.
Hier kan je vast wel wat mee.
08-11-2013, 15:11 door Anoniem
Hm. moet dus veilig zijn, maar ook gemakkelijk te beheren.

Eigenlijk geef je de juiste opties al weer, maar lijk je van plan te zijn maar een soort laptop uit te delen.

Deepfreeze voor presentatie-laptops die men een dagje leent
Domain/bitlocker laptop voor thuiswerkplekkers, die vervolgens remote een RDP of CTX sessie connecten
Telkens opnieuw inspoolen voor de knutselaars.

Doe gewoon alle drie. ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.