我希望加强办公室网络的安全性。除了显而易见的措施:物理安全、使用 Active Directory 限制用户权限、运行进行状态数据包检查的防火墙以及运行防病毒软件;我还想阻止用户将文件复制到 USB 闪存驱动器并将其带回家或克隆硬盘或只是从工作站移除硬盘。
我可以使用 Dell SonicWall 阻止所有电子邮件网站,这样员工就无法通过电子邮件向自己发送敏感的公司数据,但我该如何处理 USB 驱动器呢?工作站上的 BIOS 不允许禁用它们。
我曾经有一位客户,她使用银行的计算机将照片从相机传输到 USB 闪存盘。她向我抱怨说,她无法在家用计算机上打开 USB 闪存盘上的照片。原来,计算机对照片进行了加密,因此只能在银行计算机上打开。我该如何做才能防止员工删除数据。
我知道英特尔在采用 vPro 技术的系统上提供硬件驱动器加密,但我们的大多数工作站都没有此功能。有没有办法通过软件来实现这一点?全盘加密甚至可以阻止员工将数据复制到闪存驱动器?请提供建议。
此外,有没有办法加密传输中的数据。例如:当服务器备份到 NAS 驱动器时,是否可以在数据通过网络传输时对其进行加密,这种级别的安全性是否必要?
有没有办法让 Windows 服务器保存一份事务日志,记录谁访问和更改了任何文件或系统设置?
答案1
您的问题可能应该分成多个问题,因此我不会详细阐述。
“我希望防止用户将文件复制到 USB 闪存驱动器并将其带回家或克隆硬盘或只是从工作站移除硬盘。”
你可以锁住工作站机箱,防止人们移除硬盘。但这无法阻止人们将电脑扔进垃圾桶并带着它走开(这在以前的工作场所确实存在)。
至于闪存驱动器,您可以通过组策略阻止可移动驱动器。
(图片来自本文,您可能会发现它很有用。)
“全盘加密能否阻止员工将数据复制到闪存驱动器?”
不,您需要阻止闪存驱动器。
“此外,有没有办法加密传输中的数据。例如:当服务器备份到 NAS 驱动器时,是否可以在数据通过网络传输时对其进行加密,这种级别的安全性是否必要?”
是否“值得”取决于你要保护什么。你可以实施IP安全协议,具体取决于您的 Windows 版本。
“有没有办法让 Windows 服务器保存一份事务日志,准确记录谁访问和更改了任何文件或系统设置?”
是的,你应该调查审计政策。
答案2
我以前在客户那里使用过 Trend Micro Antivirus。它有一个选项可以禁用 USB 驱动器(当然,KB 和鼠标除外)