Forcer l'utilisateur à retirer le jeton USB
J'envisage de configurer des ordinateurs portables sécurisés à l'aide de BitLocker avec pré-démarrage PIN et clé de démarrage.
Je me demande s'il existe un moyen de forcer l'utilisateur, qui est distant, à retirer l'USB avec la clé de démarrage avant de pouvoir se connecter ou utiliser Windows. Sinon, qu'est-ce qui empêche l'utilisateur de simplement laisser l'USB connecté en permanence, ce qui annulerait à peu près sa valeur?
Une façon, bien sûr, consiste à empêcher l'utilisateur de laisser l'USB connecté, comme le fixer de façon permanente à un grand objet. Mais c'est aussi généralement peu pratique et ce n'est pas une excellente solution.
Existe-t-il une solution ou une approche standard pour cela qui peut réellement forcer le retrait de l'appareil?
Vous essayez d'utiliser un outil technique pour résoudre un problème social. La réponse est que cela ne peut pas convenir.
Les techniques peuvent fournir une grande sécurité lorsqu'elles sont correctement utilisées, mais seule la formation des utilisateurs peut permettre une utilisation appropriée. J'aime souvent la question qui est responsable de quoi. Cela signifie que les utilisateurs doivent savoir qu'ils seront responsables de tout ce qui pourrait être fait avec leurs informations d'identification. Il ne suffit pas de prouver qu'ils ne l'ont pas fait, ils doivent prouver qu'ils ont correctement protégé leurs pouvoirs.
L'analogie physique peut également aider. Ils ne laisseraient pas la clé d'un coffre-fort physique sans surveillance. Ils doivent comprendre que lorsqu'ils reçoivent des informations d'identification raisonnablement sécurisées, ils doivent la considérer comme une clé physique et l'utiliser de la même manière. Mais comme ils sont habitués à leur propre ordinateur personnel sans aucune sécurité, l'éducation est difficile et les choses doivent être répétées. Malheureusement, je n'ai jamais trouvé de meilleur moyen ...
Il me semble qu'un script de démarrage pourrait vérifier les USB montés et bloquer le wifi/réseau s'il y a un USB monté tout en affichant un message.
Une simple fonction d'interrogation pourrait vérifier la présence de nouveaux USB connectés.
Tout cela est possible à Powershell.
Cela résoudrait le problème du montage des clés USB et forcerait l'utilisateur à s'éjecter avant d'utiliser l'ordinateur portable. T son ne résout pas le problème de ce que l'utilisateur fait avec l'USB par la suite. Je peux facilement imaginer que les utilisateurs se débranchent pour commencer à utiliser l'ordinateur portable, puis rebrancher l'USB "pour le stocker" une fois qu'ils ont fermé le couvercle.
Ce n'est peut-être pas la meilleure façon de le faire, et je ne peux pas dire que je l'approuve, mais je l'ai vu utilisé dans la pratique:
Vous pouvez demander à des agents de sécurité de patrouiller la nuit, emportant avec eux n'importe quelle clé USB ou un jeton et remplir un incident de sécurité. Si le lendemain, les utilisateurs vont chercher leurs trucs USB, ils reçoivent une réprimande officielle en personne. S'ils ne le font pas, ils reçoivent une réprimande plus forte parce qu'ils n'ont pas remarqué ou signalé leur truc manquant. Faites en sorte que les réprimandes se répercutent mal sur leur salaire, ou renvoyez les employés avec trop de réprimandes.
Si elle est appliquée, vous pouvez être sûr que cette politique sera très impopulaire, mais efficace.
Edit: Vous avez ajouté dans un commentaire que votre scénario est pour les utilisateurs mobiles qui ne sont pas sur place. Je crains que ma proposition ne puisse pas être appliquée dans ce cas. Je laisserai peut-être répondre, car cela pourrait être utile pour d'autres qui essaient d'appliquer des politiques de sécurité dans leurs locaux.
Je ne suis pas si technique, mais cela semble possible:
La clé USB doit faire certaines choses, comme répondre à l'énumération ou aux demandes via l'API pour valider la clé. La première question est donc de savoir si celles-ci peuvent être utilisées. Vous devrez peut-être vérifier les documents techniques pour cette possibilité:
Si les appareils appartiennent à l'entreprise mais sont mobiles, vous pouvez installer un script qui teste cela, et si un appareil reste énuméré ou répond pendant plus de 2 minutes après l'acceptation de la validation initiale, la validation/l'accès est terminé . Cela devrait garantir que les utilisateurs développent une habitude automatique de retirer leurs clés - l'appareil ne les laissera tout simplement pas fonctionner s'ils ne le font pas.
Si certains appareils sont BYO (apportez le vôtre) alors c'est plus difficile. Peut-être que la méthode d'accès ou la clé elle-même permet une sorte de validation continue, qui pourrait être réutilisée (s'il y a un accès continu au-delà de quelques minutes, mettez fin). Si nécessaire, achetez un type de clé qui le permet.
Si une vérification côté serveur ou opérée unilatéralement n'est pas possible, de sorte que vous ne pouvez pas faire quelque chose côté serveur pour vérifier l'état de la clé USB, alors vous êtes obligé de vous rabattre sur le logiciel/script côté client . Si une personne veut apporter son propre appareil, il y a souvent des politiques à ce sujet, et parfois et dans certaines entreprises, l'utilisateur doit exécuter ou installer un script/logiciel/VPN/cert/fourni par l'entreprise s'il souhaite utiliser leur propre appareil sur le réseau de l'entreprise, donc c'est peut-être une option acceptable.
Pourquoi pensez-vous que ce jeton USB à lui seul sécurise l'ordinateur portable?
Il s'agit d'une situation d'autorisation à deux facteurs. Pour ceux qui n'ont pas encore rencontré le concept, 2FA est décrit comme "quelque chose que vous savez et quelque chose que vous avez". Le dongle USB est "quelque chose que vous avez", mais l'ordinateur portable est toujours protégé par "quelque chose que vous savez", c'est-à-dire un mot de passe. 2FA est destiné à ajouter une couche qui permet à un facteur d'être redondant, ce qui ne rend pas le système peu sûr si l'attaquant obtient le jeton de sécurité, tant que l'utilisateur n'a pas également écrit le mot de passe. Bien sûr, il vaut mieux qu'ils ne cassent pas un bras de la sécurité, mais l'ordinateur portable devrait toujours être sécurisé s'ils le font.
Pour forcer l'utilisateur à retirer la clé, cela pose également un problème majeur. La sécurisation de l'ordinateur portable est une réflexion après coup, pour protéger tous les fichiers locaux que l'utilisateur pourrait avoir, qui est un petit sous-ensemble des données de votre entreprise. La partie extrêmement importante sécurise l'accès de l'utilisateur à votre réseau. Les réseaux, en particulier les VPN, ne dépendent que de leur sécurité de connexion. Donc, si vous êtes préoccupé par la sécurité, votre VPN doit vérifier que le jeton Bitlocker est présent lorsque l'utilisateur se connecte au VPN et qu'il ne quitte jamais la machine pendant cette connexion session . Sinon, l'utilisateur aurait pu accidentellement se connecter en fermant le couvercle et en pensant que l'ordinateur était éteint, ou dans divers scénarios similaires. Vous ne pouvez pas faire l'hypothèse "ils se sont connectés OK à un moment donné dans le passé, donc c'est toujours eux qui utilisent la machine".
En bref, je pense que vous pensez trop à un domaine et que vous ne considérez pas la vue d'ensemble de la façon dont cela aide la sécurité des données de l'entreprise.
La réponse la plus simple pour les dongles USB est bien sûr d'insister pour qu'ils vivent sur le trousseau de clés de l'utilisateur avec leurs clés de maison ou de voiture. Plus d'un trousseau de clés? Pas de problème - ils peuvent avoir autant de dongles que nécessaire. Mais cela garantit que le dongle est toujours retiré de l'ordinateur portable lorsque l'utilisateur le quitte, car il a besoin du porte-clés pour rentrer à la maison.
Je viens du monde de la technologie de fabrication et l'utilisation de petits gabarits pour imposer un certain comportement manuel pour la qualité et la sécurité est une méthode standard acceptée. Je ne suis pas d'accord avec la perspective selon laquelle on ne peut pas modifier le comportement humain en plaçant certains obstacles, cela est fait pour la sécurité humaine et est pris aussi au sérieux que la sécurité du réseau. Une approche courante consiste à utiliser un Poka-Yoke , mais on voit également interverrouillages et interrupteur de l'homme mort lorsque des vies sont en jeu.
Le défi est de savoir comment adapter ces concepts à la sécurité. Bien que je convienne qu'il serait difficile de vous frayer un chemin de manière fiable, si vous élargissez votre perspective pour inclure le développement matériel, c'est certainement réalisable.
Si cela est important pour vous ou votre employeur, un dongle personnalisé peut être conçu pour forcer ce comportement, une approche spit-balling serait une coupure temporisée où le dongle se désactive après un certain temps sous tension. Nécessite un rebranchement.
Si vous avez un certain contrôle sur les utilisateurs d'ordinateurs portables et la politique, mais que vous ne souhaitez pas jouer à la police, un certain nombre d'autres obstacles peuvent être utilisés pour encourager le respect de votre politique de sécurité.
Bien sûr, pour un utilisateur entreprenant, cela est contournable, donc si vous concevez un produit de sécurité vendu aux clients, cela ne suffira pas.
Mais je crois que l'analogie avec poka-Yoke est appropriée car le contournement du contrôle technique par un collègue irait à l'encontre de la politique/procédure et serait sujet à réprimande ou avertissement.
Vous pouvez rendre l'USB polyvalent, ce qui rend impossible de le laisser sur le PC. Par exemple, ils doivent le brancher sur un autre appareil pour commencer leur journée de travail. Vous pouvez dire que vous voulez savoir quand ils viennent au travail et le début de leur journée de travail est marqué par la connexion USB à ce deuxième appareil.
Cela ne s'applique pas à tous les cas, mais je l'écris dans l'espoir que cela puisse donner une bonne idée à quelqu'un.