Frage:
Benutzer zwingen, USB-Token zu entfernen
IamNaN
2019-03-12 11:59:53 UTC
view on stackexchange narkive permalink

Ich möchte sichere Laptops mit BitLocker mit Pre-Boot-PIN und Startschlüssel einrichten.

Ich frage mich, ob es eine Möglichkeit gibt, den Remote-Benutzer zum Entfernen zu zwingen den USB mit dem Startschlüssel, bevor sie sich anmelden oder Windows verwenden können. Was kann den Benutzer sonst davon abhalten, den USB-Anschluss ständig angeschlossen zu lassen, was seinen Wert ziemlich negieren würde?

Eine Möglichkeit besteht natürlich darin, es für den Benutzer unpraktisch zu machen, den USB-Anschluss angeschlossen zu lassen, wie ihn dauerhaft an einem großen Objekt zu befestigen. Aber das ist im Allgemeinen auch unpraktisch und keine gute Lösung.

Gibt es eine Lösung oder einen Standardansatz dafür, der das Entfernen des Geräts tatsächlich erzwingen kann?

Sie könnten es in Ihre Clean Desk-Richtlinie aufnehmen, dass nach dem Start keine USB-Token mehr angeschlossen bleiben dürfen, und jedes Token, das Sie auf Ihren * unangekündigten, spontanen * Audit-Spaziergängen finden, entfernen - funktionierte wie ein Zauber für die (unbeaufsichtigten) SmartCards in meinem altenUnternehmen :)
Selbst wenn Computer dies erforderlich machen, werden viele faule Leute den Token leider nur teilweise ausstecken, um die elektrische Verbindung zu unterbrechen, aber nicht genug, um ihn zu entfernen und an einem sicheren Ort aufzubewahren.
Es stimmt, nur eine ordnungsgemäße Schulung der Benutzer kann einen Unterschied machen.
Ich bin damit einverstanden, dass einige Benutzer mit Sicherheit faul sind, den Stecker gerade genug zu ziehen, ihn aber im Port zu belassen.Aber selbst wenn die Hälfte der Benutzer dies tut und die andere Hälfte begrüßt und den Stecker zieht, wie sie es sollen, würde ich denken, dass das viel besser ist als niemand, der es tut.Benutzererziehung hat einen ähnlichen Effekt - einige wenden an, was ihnen beigebracht wird, andere nie oder nur für eine Weile und gehen dann wieder den faulen Weg ...
Was ist das gewünschte Verhalten hier?Sie möchten, dass sie es entfernen und dann was damit machen?In der Laptoptasche aufbewahren?In der Tasche aufbewahren?In einer verschlossenen Schublade aufbewahren?Schließen Sie es an ein anderes Gerät an, das auflistet, welche Schlüssel zurückgegeben wurden.Wenn Sie in diesem Punkt klar sind, finden Sie möglicherweise weitere nützliche Optionen.
@schroeder - Mein Szenario sind mobile Benutzer, die sich nicht vor Ort befinden und deren Laptops vertrauliche Daten enthalten, die geschützt werden müssen.Sobald das Gerät entfernt wurde, sollten sie es in ihrer Person behalten - Schlüsselanhänger, Brieftasche usw. Das Setup wird von einer Richtlinie begleitet, die angibt, was mit dem Gerät zu tun ist und wie damit umzugehen ist und warum es wichtig ist, dies zu tunIch möchte nur nicht nur darauf eingehen.
Sie können empfehlen oder verlangen, dass der Schlüssel an den Lanyards befestigt ist (die sie tragen müssen).Es ist schwer, es eingesteckt zu lassen, wenn es an deinem Hals befestigt ist;)
@Baldrickk Lanyards, wenn sie nicht auf Prem sind?
@IamNaN Ihr eigentliches Problem ist also nicht, dass es angeschlossen ist, sondern dass sich der USB nicht an einem zugelassenen Ort befindet (das Aufbewahren in der Laptoptasche ist ebenfalls ein Problem).Das Auswerfen des Geräts ist eigentlich nicht Ihr Problem.
@IamNaN Wenn ein Teil Ihres Problems auch darin besteht, das Gerät teilweise angeschlossen zu lassen, handelt es sich überhaupt nicht um ein technisches Problem, sondern um ein Verhaltensproblem.Wenn Sie bereit sind, Ihre Besorgnis über halb eingesteckte USBs aufzugeben, eröffnen sich technische Optionen.
Was ist der USB-Token - Yubikey?
@IamNaN Welchen Angriffsvektor verhindert der Pin / Key vor dem Start, der nicht umgangen wird, indem nur die gesamte Maschine übernommen wird?
@MooseBoys [Speicher-Remanenz] (https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures#attack-countermeasures) (Kaltstart-Angriffe)
@schroeder zu Hause?kein Problem - bei einem Kunden?Ein Ausweis kann nicht schaden.In der Kneipe über öffentliches WLAN?vielleicht nicht, wir ähm.Verankere das nicht bei meiner Arbeit, aber wenn ich es täte, hätte ich es wahrscheinlich in meiner Tasche anstatt auf.Eine Alternative könnte an Ihre Schlüssel angehängt werden.
Ich halte meinen YubiKey an einem Schlüsselband, das ich mit Schlüsselkarten an der Brieftasche befestige, um nach dem Weggehen wieder in mein Büro zu gelangen. Schließen Sie sich ein paar Mal aus dem Gebäude aus, und man hat die Angewohnheit, ihn beim Wegtreten immer wieder zu greifen.Wenn Sie die Sicherheit von Einrichtungen kontrollieren, könnte ich sehen, dass eine vergleichbare Kopplung (Verteilung von Gebäude- und Host-Token zusammen) als Maßnahme zur Durchsetzung von Richtlinien verwendet wird.
@IamNaN Wenn es sowieso eine solche Unternehmensrichtlinie gibt, setzen Sie einfach die Anforderung, das Gerät zu trennen, in dieselbe Unternehmensrichtlinie.Und stellen Sie sicher, dass alles Sinn macht. Das Erfordernis unsinniger Dinge in einem Teil einer Richtlinie ist ein sicherer Weg, um die Menschen dazu zu bringen, auch die sinnlichen Aspekte zu ignorieren.Z.B.Unsere Firma erlaubt nicht, dass Dokumente auf Schreibtischen zurückgelassen werden, stellt jedoch keine verschlossenen Schränke zur Verfügung, um sie aufzubewahren, und viele Räume haben überhaupt keine Schränke, sodass die Leute sie stattdessen einfach in eine Plastiktüte stecken.Kaum sicher, erfüllt aber die Richtlinien ...
Acht antworten:
Serge Ballesta
2019-03-12 16:32:45 UTC
view on stackexchange narkive permalink

Sie versuchen, mit einem technischen Tool ein soziales Problem zu lösen. Die Antwort ist, dass dies nicht passt.

Techniken können bei korrekter Verwendung große Sicherheit bieten, aber nur die Schulung der Benutzer kann eine ordnungsgemäße Verwendung ermöglichen. Ich mag oft den , der für welche Frage verantwortlich ist. Das bedeutet, dass Benutzer wissen sollten, dass sie für alles verantwortlich sind, was mit ihren Anmeldeinformationen getan werden kann. Es reicht nicht aus zu beweisen, dass sie es nicht getan haben, sie müssen beweisen, dass sie ihre Anmeldeinformationen korrekt geschützt haben.

Die physikalische Analogie kann ebenfalls helfen. Sie würden den Schlüssel eines physischen Safes nicht unbeaufsichtigt lassen. Sie sollten verstehen, dass sie, wenn sie hinreichend gesicherte Anmeldeinformationen erhalten, diese als physischen Schlüssel betrachten und gleich verwenden sollten. Da sie jedoch an ihren eigenen Heimcomputer ohne Sicherheit gewöhnt sind, ist die Ausbildung schwierig und die Dinge müssen wiederholt werden. Leider habe ich nie einen besseren Weg gefunden ...

Vielen Dank und ich stimme der Tatsache zu, dass Bildung wichtig, kritisch und der wichtigste Aspekt ist.Ich denke jedoch auch, dass ein zusätzlicher Faktor zur Durchsetzung dieses Verhaltens, wenn möglich, angemessen ist.Wenn ein Laptop mit vertraulichen Daten in die falschen Hände gelangt, besteht mein größtes Problem darin, dass die Daten jetzt in den falschen Händen sind und nicht, wessen Fehler es ist, dass die Daten dort gelandet sind.Wenn ich also zusätzlich zur Ausbildung einen weiteren Faktor hinzufügen kann, um dieses Risiko zu verringern, möchte ich dies umsetzen.Es soll nicht die einzige Lösung sein.
Ich denke nicht, dass es ein soziales Problem ist.FIDO-Token haben dies technisch gelöst, indem sie einen Druckknopf "Benutzerpräsenz" haben.Sie können das FIDO-Token kontinuierlich angeschlossen lassen, und einige sind [genau dafür ausgelegt] (https://www.yubico.com/product/yubikey-5-nano/).Es ist so gut wie ausgesteckt, bis jemand den Knopf drückt.Das Problem ist, dass Bitlocker ein Massenspeichergerät zur Authentifizierung verwendet, was über das ursprüngliche Design hinausgeht.
Es ist der gleiche Grund, warum komplizierte Passwortschemata Sie nicht davon abhalten können, eine Haftnotiz auf Ihren Monitor zu kleben.
@corsiKa, in der Tat, sie ermutigen es.
@IamNaN Solange der Token und der Laptop zu irgendeinem Zeitpunkt im Besitz derselben Person sind, besteht die Gefahr, dass beide gleichzeitig in die falschen Hände geraten.Um zu verhindern, dass Token und Laptop zusammen kompromittiert werden, besteht die einzige Möglichkeit darin, dass der Token jeden Laptop entsperrt, damit er niemals in die Hände der Person gelangt, die den Laptop verwendet, was eindeutig völlig unpraktisch ist.
schroeder
2019-03-12 19:47:29 UTC
view on stackexchange narkive permalink

Es scheint mir, dass ein Startskript nach gemounteten USBs suchen und das WLAN / Netzwerk blockieren könnte, wenn während der Anzeige einer Nachricht ein USB-Mount angeschlossen ist.

Eine einfache Abfragefunktion könnte nach neuen USB-Anschlüssen suchen.

All dies ist in Powershell möglich.

Dies würde das Problem lösen, dass die USBs angeschlossen sind und würde den Benutzer zwingen, vor der Verwendung des Laptops auszuwerfen. Dies löst nicht das Problem, was der Benutzer anschließend mit dem USB macht. Ich kann mir leicht vorstellen, dass Benutzer den Netzstecker ziehen, um den Laptop zu verwenden, und dann den USB-Stick wieder anschließen, um ihn zu speichern, sobald sie den Deckel schließen.

Vielen Dank.Sie haben definitiv einen Punkt da!Berücksichtigen Sie auch Ihren Kommentar "Der Standort des USB ist das Problem".Wenn man alle bisher eingegangenen Antworten und Kommentare berücksichtigt, erscheint es wenig sinnvoll, dies als zusätzliche Sicherheitsmaßnahme zu verfolgen, und es scheint besser, sich darauf zu konzentrieren, angemessene Richtlinien für Nutzung und Verhalten sowie Schulung und Ausbildung festzulegen.
@IamNaN Ich muss Ihrer Einschätzung zustimmen.Technologie * unterstützt * sicheres Verhalten, ist aber nicht gut darin, sicheres Verhalten zu erzwingen.Schulungen, Erklärungen und klare Aufforderungen sind besser.Verwenden Sie ein Start-up-Popup, um Benutzer daran zu erinnern, den USB-Stick in die Tasche zu stecken (nicht mit dem Laptop).
Verwenden Sie dieses Diagramm, um herauszufinden, wo Sie Ihre Bemühungen zur Verhaltensänderung konzentrieren müssen: https://www.behaviormodel.org/
`schtasks` hat` ONSTART`, um das Skript beim Start auszuführen.Könnte "ONLOGON" verwenden, um das Skript auszuführen und den Benutzer aufzufordern.Verbinden Sie dann das Skript mit EventId, wenn ein USB verbunden ist, und prüfen Sie, ob es sich um den Bitlocker-USB handelt.
A. Hersean
2019-03-12 17:49:37 UTC
view on stackexchange narkive permalink

Dies ist möglicherweise nicht der beste Weg, dies zu tun, und ich kann nicht sagen, dass ich es befürworte, aber ich habe gesehen, dass es in der Praxis angewendet wird:

Sie könnten Sicherheitskräfte nachts patrouillieren lassen und welche nehmen USB-Stick oder Token werden mit ihnen an einen Computer angeschlossen und füllen einen Sicherheitsvorfall aus. Wenn die Benutzer am nächsten Tag ihre USB-Geräte abholen, erhalten sie persönlich einen offiziellen Verweis. Wenn sie dies nicht tun, erhalten sie einen stärkeren Verweis, weil sie ihr vermisstes Ding nicht bemerkt oder gemeldet haben. Lassen Sie die Verweise schlecht über ihren Gehaltsscheck nachdenken, oder entlassen Sie die Mitarbeiter mit zu vielen Verweisen.

Wenn erzwungen, können Sie sicher sein, dass diese Richtlinie sehr unbeliebt, aber effektiv ist.

Bearbeiten: Sie haben in einem Kommentar hinzugefügt, für den Ihr Szenario bestimmt ist mobile Benutzer, die sich nicht vor Ort befinden. Ich fürchte, mein Vorschlag kann in diesem Fall nicht angewendet werden. Ich werde immer noch gehen, kann antworten, da es für andere, die versuchen, Sicherheitsrichtlinien in ihren Räumlichkeiten durchzusetzen, immer noch nützlich sein könnte.

Dies sollte in der Tat als letztes Mittel tun.
In der vorherigen Firma, an der ich arbeitete, mussten Laptops nach einigen Diebstählen an ihrem Pad befestigt werden.Nachts holten die Sicherheitskräfte jeden unverschlossenen Laptop oder jeden Laptop mit dem Schlüssel am Schloss ab, und Sie mussten ihn am Sicherheitsposten abholen.Die Leute murrten, aber nach ein oder zwei Monaten war es ziemlich selten, dass jemand vergaß, seinen Laptop zu sperren.
"Lassen Sie die Verweise schlecht über ihren Gehaltsscheck nachdenken" ist in den meisten mir bekannten Kulturen illegal.
@Flater Es hängt davon ab, wie es gemacht wird.Dies kann ein reduzierter Bonus oder eine reduzierte jährliche Gehaltserhöhung sein.Höchstwahrscheinlich müssen die mit Sicherheitsvorfällen verbundenen Risiken in den Vertrag aufgenommen werden, aber ich bin kein Anwalt.Ich weiß nur, dass solche Sanktionen zumindest in einem Land legal angewendet werden können, da ich sicher bin, dass ein riesiges Team von Anwälten die Richtlinien überprüft hat, die ich gesehen habe.Eine NDA hindert mich daran, mehr preiszugeben.
Es kann weicher gemacht werden, wenn der Schlüssel des Ersttäters nicht entfernt wird, sondern nur eine Papiernotiz beigefügt ist.Zweites Mal = USB-Stick entfernt + mündlicher (nicht offizieller) Verweis;drittes Mal = offizieller Verweis (aber keine Abnahme des Gehaltsschecks), dann eine nominale Abnahme des Gehaltsschecks (z. B. 1 USD) und so weiter.
@Flater Hängt davon ab, wie es vorgeschlagen / implementiert wird.Stellen Sie sich einen variablen Bonus auf dem Gehaltsscheck vor. Wenn die Richtlinien nicht eingehalten werden, verringert sich der Bonus.Das würde den Gesetzen der meisten Länder entsprechen, da es keine Strafe, sondern ein "variabler Bonus" wäre.
Stilez
2019-03-13 00:26:49 UTC
view on stackexchange narkive permalink

Ich bin nicht so technisch, aber dies scheint möglich zu sein:

Der USB-Stick muss bestimmte Aufgaben ausführen, z. B. auf Aufzählungen oder Anfragen über die API zur Validierung des Schlüssels. Die erste Frage ist also, ob diese verwendet werden können. Möglicherweise müssen Sie die technischen Dokumente auf diese Möglichkeit überprüfen:

  • Wenn die Geräte im Besitz des Unternehmens sind, aber mobil , können Sie ein Skript installieren, das dies testet, und Wenn ein Gerät länger als 2 Minuten nach der Annahme der Erstvalidierung aufgelistet bleibt oder reagiert, wird die Validierung / der Zugriff beendet. Dies sollte sicherstellen, dass Benutzer automatisch ihre Schlüssel entfernen - das Gerät lässt sie einfach nicht arbeiten, wenn sie dies nicht tun.

  • Wenn einige Geräte BYO sind (bringen Sie Ihre eigenen mit) dann ist es schwieriger. Möglicherweise ermöglicht die Zugriffsmethode oder der Schlüssel selbst eine Art fortlaufende Validierung, die für andere Zwecke verwendet werden kann (wenn der Zugriff über einige Minuten hinaus andauert, beenden Sie ihn). Kaufen Sie bei Bedarf einen Schlüsseltyp, der dies ermöglicht.

  • Wenn eine serverseitige oder einseitig betriebene Prüfung nicht möglich ist, können Sie auf der Serverseite nichts tun, um den USB-Stick-Status zu überprüfen. Dann müssen Sie auf clientseitige Software / Skripte zurückgreifen. Wenn eine Person ihr eigenes Gerät mitbringen möchte, gibt es häufig Richtlinien dazu, und manchmal und in einigen Unternehmen muss der Benutzer ein vom Unternehmen bereitgestelltes Skript / Software / VPN / Zertifikat / was auch immer ausführen oder installieren, wenn er es verwenden möchte ein eigenes Gerät im Netzwerk des Unternehmens, daher ist dies möglicherweise eine akzeptable Option.

Graham
2019-03-13 13:07:03 UTC
view on stackexchange narkive permalink

Warum sichert dieses USB-Token Ihrer Meinung nach allein den Laptop?

Dies ist eine Zwei-Faktor-Autorisierungssituation. Für diejenigen, die das Konzept noch nicht kennengelernt haben, wird 2FA als "etwas, das Sie wissen und etwas, das Sie haben" beschrieben. Der USB-Dongle ist das "Etwas, das Sie haben", aber der Laptop ist immer noch durch das "Etwas, das Sie wissen", d. H. Ein Passwort, geschützt. 2FA soll eine Ebene hinzufügen, die es einem Faktor ermöglicht, redundant zu sein, damit das System nicht unsicher wird, wenn der Angreifer das Sicherheitstoken erhält, solange der Benutzer nicht auch das Kennwort notiert hat. Natürlich ist es besser, dass sie nicht einen Arm der Sicherheit brechen, aber der Laptop sollte trotzdem sicher sein.

Um den Benutzer zum Entfernen des Schlüssels zu zwingen, ist dies ebenfalls ein großes Problem. Das Sichern des Laptops ist ein nachträglicher Gedanke, um alle lokalen Dateien zu schützen, die der Benutzer möglicherweise herumhängen lässt. Dies ist eine kleine Teilmenge Ihrer Unternehmensdaten. Der kritisch wichtige Teil sichert den Zugriff des Benutzers auf Ihr Netzwerk. Netzwerke, insbesondere VPNs, sind nur so gut wie ihre Anmeldesicherheit. Wenn Sie also Sicherheitsbedenken haben, sollte Ihr VPN überprüfen, ob das Bitlocker-Token vorhanden ist, wenn sich der Benutzer beim VPN anmeldet, und dass es den Computer während dieser Anmeldesitzung nie verlässt stark>. Andernfalls hätte sich der Benutzer versehentlich angemeldet lassen können, als er den Deckel schloss und dachte, der Computer sei heruntergefahren, oder verschiedene ähnliche Szenarien. Sie können nicht davon ausgehen, dass sie sich irgendwann in der Vergangenheit in Ordnung angemeldet haben, daher verwenden sie die Maschine immer noch.

Kurz gesagt, ich denke, Sie überdenken einen Bereich und ohne das Gesamtbild zu berücksichtigen, wie es der Datensicherheit des Unternehmens hilft.

Die einfachste Antwort für USB-Dongles besteht natürlich darin, darauf zu bestehen, dass sie mit ihren Haus- oder Autoschlüsseln vom Schlüsselbund des Benutzers leben. Mehr als ein Schlüsselring? Kein Problem - sie können so viele Dongles haben, wie sie brauchen. Dies stellt jedoch sicher, dass der Dongle immer vom Laptop entfernt wird, wenn der Benutzer ihn verlässt, da er den Schlüsselring benötigt, um nach Hause zu kommen.

Vielen Dank, aber ich habe nie gesagt, dass dies die einzige Sicherheitsmaßnahme ist und mit Sicherheit nicht.Ich habe lediglich die Möglichkeit geprüft, eine weitere Sicherheitsebene für die Pre-Boot-Authentifizierung hinzuzufügen. Wenn dies die einzige Maßnahme zur Sicherung der Laptops wäre, würde ich dem, was Sie hier sagen, voll und ganz zustimmen.
@graham Ich denke, Sie verpassen den ganzen Punkt, welche Kontrollen beteiligt sind und was sie schützen.Das fragliche Steuerelement ist die Endpunktverschlüsselung.Dies hat nichts mit Konto- oder Netzwerkkontrollen zu tun.
crasic
2019-03-15 11:42:03 UTC
view on stackexchange narkive permalink

Ich komme aus der Welt der Fertigungstechnologie und die Verwendung kleiner Vorrichtungen zur Durchsetzung eines bestimmten manuellen Verhaltens für Qualität und Sicherheit ist eine standardmäßig akzeptierte Methode. Ich bin nicht einverstanden mit der Perspektive, dass man menschliches Verhalten nicht durch bestimmte Hindernisse konstruieren kann. Dies geschieht aus Gründen der menschlichen Sicherheit und wird ebenso ernst genommen wie die Netzwerksicherheit. Ein üblicher Ansatz ist die Verwendung eines Poka-Jochs, aber man sieht auch Verriegelungen und Totmannschalter, wenn Leben auf dem Spiel stehen.

Die Herausforderung besteht darin, diese Konzepte an die Sicherheit anzupassen. Ich stimme zu, dass es schwierig sein würde, Ihren Weg aus dieser heraus verlässlich zu kodieren, aber wenn Sie Ihre Perspektive auf die Hardwareentwicklung erweitern, ist dies sicherlich erreichbar.

Wenn es für Sie oder Ihren Arbeitgeber wichtig ist, Es kann ein benutzerdefinierter Dongle entworfen werden, der dieses Verhalten erzwingt. Ein Ansatz wäre ein zeitgesteuerter Cutoff, bei dem sich der Dongle nach einer bestimmten Zeit unter Strom selbst deaktiviert. Erneutes Einstecken erforderlich.

Wenn Sie ein gewisses Maß an Kontrolle über die Benutzer und Richtlinien des Laptops haben, aber keine Polizei spielen möchten, können beliebig viele andere Hindernisse eingesetzt werden, um die Einhaltung Ihrer Sicherheitsrichtlinien zu fördern.

Für einen unternehmungslustigen Benutzer ist dies natürlich umgehbar. Wenn Sie also ein Sicherheitsprodukt entwerfen, das an Kunden verkauft wird, reicht dies nicht aus.

Aber ich glaube, die Analogie zu Poka -Joch ist angemessen, da die Umgehung der technischen Kontrolle durch einen Mitarbeiter gegen Richtlinien / Verfahren verstoßen und einem Verweis oder einer Warnung unterliegen würde.

Bojidar Stanchev
2019-03-15 18:17:30 UTC
view on stackexchange narkive permalink

Sie können den USB-Mehrzweck so gestalten, dass er nicht mehr auf dem PC verbleibt. Zum Beispiel müssen sie es an ein anderes Gerät anschließen, um ihren Arbeitstag zu beginnen. Sie können sagen, dass Sie wissen möchten, wann sie zur Arbeit kommen und der Beginn ihres Arbeitstages durch den USB-Anschluss an dieses zweite Gerät gekennzeichnet ist.

Dies gilt nicht für jeden Fall, aber ich schreibe es mit der Hoffnung, dass es jemandem eine gute Idee geben könnte.

jwenting
2019-03-15 12:14:46 UTC
view on stackexchange narkive permalink

OK, jetzt haben Sie irgendwie sichergestellt, dass der Besitzer des Laptops sein Token nicht angeschlossen lässt.

Jetzt nehmen sie jedoch diesen Laptop und das Token mit, wenn sie nach Hause gehen, und werden überfallen von einem Industriespion auf dem Parkplatz. Ergebnis ist sowohl Token als auch Laptop, wie in den Händen einer nicht autorisierten Person und schlimmer noch, der gleichen nicht autorisierten Person.

Das Ergebnis ist natürlich genau das gleiche, wie es wäre, wenn das Token in den Laptop eingesteckt wäre Der Bösewicht kann einfach das Token einstecken.

Herzlichen Glückwunsch, Sie haben gerade die Sicherheitsgrenze ein wenig verschoben, um überhaupt keinen wirklichen Gewinn zu erzielen.

Sie könnten einige installieren Software auf den Laptops, die den Bildschirm blockiert oder sogar herunterfährt, wenn das Token nach dem Booten des Betriebssystems auf dem Laptop installiert ist. Sagen Sie etwas, das im Rahmen des Betriebssystemstarts gestartet wurde und alle paar Minuten nach dem Token sucht. Würde sicherstellen, dass das Token nach dem Booten des Computers entfernt wird, würde jedoch nicht verhindern, dass sowohl das Token als auch der Computer gestohlen werden.

Die einzige Möglichkeit, dies sicherzustellen, ist ein 4-Augen-Prinzip, bei dem die Maschine nicht gestartet werden kann, ohne dass mindestens zwei Personen anwesend sind, eine mit dem Token und eine mit dem Kennwort.

Und das ist ein wichtiger Punkt PITA und insbesondere für Remote-Mitarbeiter oft unmöglich (da Remote-Mitarbeiter in der Regel allein an einem Standort sind).

Dies wurde bereits in den Kommentaren zur Frage herausgearbeitet.Wie geschrieben, ist es keine Antwort auf die Frage, sondern eine Tangente.Ihr Software-Vorschlag wird bereits von anderen Antworten abgedeckt, und Ihr 4-Augen-Vorschlag ist für das Szenario in der Frage nicht umsetzbar.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...