我们必须时刻保持警惕,防止恶意软件, 木马, 和其他不良分子在我们学校的网络中扎根,窃取个人身份信息(PIA)和金钱. 除了网页过滤, 杀毒, 打补丁, 现在是高级端点保护, 我们还必须考虑政策. 我将要列出的一些内容非常明显. 其他的可能不那么明显,但在我们生活的任何时间/任何地方都是至关重要的.
需要考虑的政策:
- 你允许远程访问吗? 如果是这样,是通过VPN还是通过真正的远程访问解决方案网关,如VMware Horizon(又名View)? 记住VPN访问, 取决于它是如何配置的, 可能会将不受您控制的远程网络暴露给您的内部网络. 最低限度地暴露工作站或笔记本电脑连接,可能或可能不在您的控制之下. 来自非托管机器的vpn可能会使您暴露于病毒/恶意软件,否则您的正常防御会阻止. 如果您正在做一个虚拟桌面解决方案, 我们真的不太关心远程用户,因为他们正在使用您管理的桌面来做他们需要做的事情. 然而, 如果你有剪贴板或USB接口, 您可能允许人们在您的网络内或网络外复制数据. 我们可以通过策略控制剪贴板和USB访问.
- 您是否允许在web浏览器中缓存凭据? 缓存的凭据可能允许一个人在不知情的情况下漫游到您的一个工作站访问敏感数据. (i.e. 学生服务(例如SchoolTool). 解决方案是创建一个防止缓存密码的组策略. 请记住,Microsoft Internet Explorer有组策略可用, 谷歌Chrome, Mozilla Firefox, 和Microsoft Edge.
- 您是否有登录不活动超时和/或定时密码保护屏幕保护程序? 如果一个老师正在评分,却没有签到,会发生什么? 如果出纳员去吃午饭,会发生什么? 这是一个简单的组策略.
- 您是否允许任何远程访问客户端(i.e. LogmeIn, TeamViewer, GotoMyPC等.)? 在未经批准的情况下,绝对不能有其他方式访问学校的网络, 授权用户可追踪的方式. 这些通常可以通过组策略或防火墙阻止.
- 大多数学校要么使用谷歌应用程序,要么使用微软办公软件 365环境. 有些两者都有. 您是否允许其他未经批准的文件共享应用程序(如Dropbox)? 只允许使用Microsoft One Drive和谷歌 Drive文件共享应用程序套件. 经过批准的地区管理员可以设置权限, 确定谁可以共享什么,并获得正在访问的内容的报告. 我们通常可以通过组策略屏蔽那些未经批准的应用程序.
- 你正在寻找谷歌应用程序管理或办公室 365不寻常的访问模式? 谷歌应用程序, 例如, 是否已经大大改善了对外国访问和其他潜在危险使用模式的观察.
- 您是否强迫那些处理机密数据的人员使用某种形式的多因素身份验证(MFA) ?? 你应该. 例如, 谷歌可以向你的手机发送一个代码,或者使用你手机的GMAIL应用程序来批准一个新的申请, 国外登录请求. 办公室 365也可以做同样的事情. 也有与谷歌 Authenticator(免费)和Microsoft Authenticator(免费)绑定的应用程序。.
- 您是否允许您的供应商,如安全, 暖通空调, 制冷, 报警, 和其他物联网设备来查看您的网络内部还是它们是单独的, 独立的供应商vlan,允许他们做您雇佣他们做的事情, 但与此同时,让他们与你的内部网络隔离开来. 新闻中许多广为人知的数据泄露都是由于维护不善造成的, 主要企业网络中的第三方设备.
- 您是否允许浏览器同步? 这是我们追求简单、“随时随地”访问的一种新的、潜在的巨大暴露. 谷歌浏览器可以在学校电脑和区外的另一台电脑之间同步浏览器数据. 以下是谷歌对同步的定义:
Chrome 同步做什么?默认情况下, Chrome的同步 设置为“同步 一切”. 一切意味着:应用程序, 自动填充, 书签, 扩展, Omnibox历史, 密码, 设置, 主题, 打开标签页. 同步 所有东西都在不同设备间提供最一致的体验.2012年8月17日
http://support.谷歌.com/chrome/answer/165139?有限公司=精灵.平台% 3 ddesktop&hl = en
如果同步,默认是所有内容. 这会造成潜在的数据泄漏,就好像您在区域中缓存了登录信息一样, 它现在出现在从区域同步的非托管机器上. 此外,你还可以将你的个人浏览记录从家里同步到学校的电脑上! 在窗户。环境下,Microsoft Edge和Mozilla Firefox具有相同的特性. 我们可以通过组策略阻止这种行为. 谷歌Chrome同步也可以被谷歌应用程序管理员阻止,没有组策略. 在苹果环境中,苹果Safari做了类似的事情.
- 您是否计划添加高级端点保护(AEP),如Paladin CyberSentinel Endpoint Detect & 对你最敏感的财务状况做出回应, 而学生和教职员工的数据用户有一个额外的保护层? 你应该.
- 在您的最终用户教育中,您是否教导那些从家用计算机访问地区和订阅资源的教师和员工应该:
- 维护当前的防病毒软件
- 给他们的电脑打补丁
- 不缓存id和密码敏感数据
- 不能与他们可能使用的地区网络浏览器同步.
- 在家里的电脑上与家人单独登录,以减少无意中缓存的id或密码或同步个人浏览历史的风险, 等.
虽然这个列表并不完整, 这是一个非常好的开始,极大地限制了数据泄露的可能性. 如果你想实施这些建议或讨论你的具体情况, 给我们打电话.
最近的评论