Организация безопасности от утечки информации на домене Windows2003

xeel · Отправлено: **23:51, 01-12-2006** | #5

to: xoxmodav В приведённом тобой примере для защиты достаточно было в БИОСе отключить все винты, кроме того, который уже был установлен, а не оставлять автоопределение, которое стоит по умолчанию.
to: babki
1. Проблема с универсальными паролями на БИОС решается его перепрошивкой.
2. В БИОСе отключаются все порты и выставляется загрузка только с жесткого диска.
3. С помощью локальных политик безопасности настраиваются права пользователей, в т.ч. - запрет на создание сетевых ресурсов. Кроме того - на всех компах, кроме сервера запрещается всем доступ по сети.
4. Далее - в группу локальных админов на каждом компе включается доменный админ. Встоенной учётной записи админа локальными политиками запрещается все, что можно запретить. Поясню, для чего - если человек сбросит БИОС, разобрав системник (а от этого можно защититься только поставив системник в сейф

), то он сможет загрузиться с дискетки и сбросить пароль любому локальному пользователю (в т.ч. - и встроенному админу). А вот если этому пользователю вход в систему будет запрещён - то и пусть себе сбрасывает хоть 100 раз.
5. По поводу притащил комп из дома - с этим на самом деле сложнее всего. Тут уже проще сделать это все-таки организационно, а не программно - если есть такие требования к защите информации - значит необходимо ввести запрет на внос системников и ноутбуков и заставить охрану это отслеживать, переведя всю отвественность на них. Честно говоря - других идей просто нет. Поскольку даже если вы установите аппаратные фильты пакетов сетевого уровня (ФПСУ-IP и им подобные) и разрулите доступ по IP-адресам - то достаточно будет просто поставить принесённому компу один из IP-адресов компов, существующих в сети. Правда, честно говоря, плотно с подобными вещами не работал - вполне возможно, что там можно разрулить и по MAC-адресу. Вот в этом случае - фиг чего получится, если комп будет другой, а на всех ваших компах сетевая плата будет интегрирована в мать (чтобы нельзя было её переставить в принесённый системник).

Еще раз повторю уже высказанную мысль - в случае, если предъявляются подобные требования к информационной безопасности - гораздо логичнее рассматривать сеть, построенную с использованием терминалов вместо персональных компьютеров.