几周以来我一直在搜索和阅读有关这个主题的内容,以下是我目前对情况的理解:
- 用例:使用公司笔记本电脑工作的员工。他们需要能够离线工作,也可以在公司网络之外工作(有互联网接入)。
- 安全要求:计算机上存储的数据需要安全,不能被第三方恢复。
为了解决此用例的最大问题,我研究时首先想到的是磁盘加密。一种常用的产品是 Bitlocker。但我很快意识到,如果不强制用户使用强密码(并且不会让笔记本电脑闲置 3 小时而不触发锁屏等),单靠磁盘加密根本无法解决问题:公司需要有一种方法来执行政策(强密码、锁屏最大计时器等)。
在我研究的这个阶段,Active Directory 出现了,它回答了几乎所有这方面的担忧,但是有几个缺点使得它的集成成为一个问题:需要现场服务器,需要提供对公司网络的 VPN 访问(当用户使用基于云的服务(如 Office 365)时,这不是必需的),离线访问,... Active Directory 似乎不是为移动性而设计的,尤其是对于中小型公司而言。管理它(服务器维护、配置等)的开销也很大。其他替代方案:使用远程桌面,但仍然存在需要 100% 的时间连接互联网的问题。
此后,我一直在尝试寻找替代方案,最终着眼于安全公司(卡巴斯基、迈克菲、诺顿等)提供的“端点”产品。他们的解决方案似乎是防病毒和部署软件的混合体,我无法准确确定这些产品是否能满足所有安全要求。
最后,我还读到(并同意!)确保不要在本地保存太多数据比增加数千层安全措施并保存所有内容更重要。然而,由于移动性要求以及人们可能需要离线工作的事实,似乎没有解决方案能够真正自动减少本地存储的文件数量。将文件存储在远程驱动器上不是一种选择,并且 Sharepoint 或类似程序在同步文件夹时将所有数据保存在本地。
这是我目前对数据和公司笔记本电脑安全性的研究状态,我倾向于采用具有集中管理和一些安全功能(但不是全部)的软件解决方案。我是否错过了什么或判断失误了?有没有更好的方法来处理公司笔记本电脑的安全性,同时保持无缝的最终用户体验?
答案1
典型的解决方案是;
1) Connect the PC to the domain
2) Fully encrypt the HDD
3) Setup VPN access for external users
此设置存在一些问题。但是,客户端会在一段时间内缓存 AD 凭据,因此用户不需要 100% 全天候访问 DC。只要他们在离开办公室之前登录,并在凭据过期之前再次登录即可。因此,如果他们来来往往,通常不会出现问题。
此外,MS 还通过其 Azure 平台提供 AD 服务。我不知道具体细节,但除了支付账单和配置用户之外,您不需要进行大量维护。
如果您想消除端点加密要求,另一个解决方案是使用瘦客户端。用户将通过 VPN 登录到某个服务器,因此不会在本地存储任何内容。
答案2
您可能想了解 MS Intune 的功能。它可以满足您的很多需求,尤其是远程设备管理、VPN 访问和安全性。如果您将本地 AD 与 Azure AD 同步,它也将有助于凭证管理。