iT邦幫忙

0

我公司設有DOMAIN,有不忠誠員工自帶NB將DOMAIN內的資料抄走,我怎能避免

各位大大,我公司為小型企業,設有伺服器SERVER2003,利用DOMAIN將資料分享使用,最近來了個不忠誠的員工,他自帶來NOTEBOOK抄錄,將DOMAIN內的資料抄走,原本他是DOMAIN USER沒有權限,他偷看主管密碼,翌日,發現後已辭退,但我不知怎樣防範下一次,請幫助,謝謝

28
jay214
iT邦研究生 3 級 ‧ 2009-12-28 02:09:30
最佳解答

請將網域驗證增加 OTP(One Time Password) or 智慧卡驗證,如此就算知道對方的密碼,沒有對方的 OTP鑰匙 or 智慧卡 哪也是無效的...

jay214 iT邦研究生 3 級 ‧ 2009-12-29 12:08:40 檢舉

http://store.pchome.com.tw/changingtec/M04716296.htm

可以參考看看這樣的產品..

meilam330 iT邦新手 5 級 ‧ 2010-01-06 08:56:00 檢舉

謝謝你的建議

18
rt788
iT邦新手 5 級 ‧ 2009-12-27 19:54:00

那就得用資安軟體了。例如: x-fort。他要帶也帶不走

meilam330 iT邦新手 5 級 ‧ 2009-12-27 20:39:32 檢舉

我剛看過X-FORT的網站,好像軟件很貴,有沒有便宜些或免費,謝謝

tombo iT邦研究生 1 級 ‧ 2009-12-31 11:53:49 檢舉

這樣的講法有漏洞,今天已經被偷看到主管的密碼,就可以利用主管身份登入系統,在X-Fort的規劃,就會具有主管權限,除非有其他更嚴格的限定,例如限制主管帳號只能登入某台機器。

22
lcjan
iT邦研究生 4 級 ‧ 2009-12-27 23:42:30

...『他偷看主管密碼』....
關於這一點,可能很難解。
為何他能『偷看』?是不是再哪些方面出了非技術性問題?
不然,哪天如果他『偷看了Domain Administrator密碼』那不就天下大亂

fpchen iT邦新手 1 級 ‧ 2009-12-28 13:34:48 檢舉

Domain Administrator密碼是加密不是明碼.是拿不走,只有人為原因才有可能知道
檔案的部份只能用文管軟體或資安軟體.

lcjan iT邦研究生 4 級 ‧ 2009-12-29 00:00:47 檢舉

『偷看』主管密碼本身就不見得是技術性問題,相對於資安,也不是光靠技術就能做好。
沒有良好的(合適的)安全政策與管理策略,買什麼技術都一樣,不該流出去的,很快就會在外面看到

16
gooledh
iT邦新手 1 級 ‧ 2009-12-28 09:04:16

不知大大的公司後續有無提出法律相關條文來處理這件事

18
sniperegg
iT邦新手 2 級 ‧ 2009-12-28 09:30:17

該做的,應該是先查出那位使用者怎麼會知道主管的密碼才是重點。
偷看?怎麼看?座位規劃不良?還是使用者安裝監聽軟體?
先找出使用者入侵的管道,才能針對入侵管道防堵。

16
soulblack
iT邦新手 5 級 ‧ 2009-12-28 09:41:48

第一個是偷看主管密碼要解決
後續可以考慮安裝監控設備 例: "MISkeeper" 參考看看~

16
hotfoxzuso
iT邦新手 4 級 ‧ 2009-12-28 09:50:32

根據你的描述..
Domain的權限己經設定完成,
卻因為認證的機制尚未強化,
讓密碼成為你防護環節中最弱的一環,
我覺得jay大的建議蠻不錯的..
或許可以嘗試利用雙認證方式來加強這一點,
使用OTP動態密碼(建置管理較簡單)或智慧卡(需maintain CA,較不推)
都是很不錯的方式,可以防止密碼被竊取,可以參考看看。

16
jiahuey
iT邦新手 1 級 ‧ 2009-12-28 10:00:00

針對非公司的資訊設備,限制 Mac address 不得進入公司內部網路似乎也是一個可行的方式。

16
atlantischiu
iT邦新手 4 級 ‧ 2009-12-28 10:06:48

以Mac Address來限制是否能否存取內部網路
是個不錯的方法!
然後再限制USB外接裝置的使用!
這樣就可以達到一定程度的防範!
任何不在你列表中的Mac Address,是不允許存取內部網路的!

14
kaisam
iT邦新手 4 級 ‧ 2009-12-28 10:23:17

他主管的權限可以 Join Domain ??可以看 Domain Tree
還是只是將 資料夾內的文件 下載走?
你是如何知道 他非法下載(商業機密保護法)..
通常最不花錢的方式 就是要求員工簽立 員工規範 ~
IP 不要用 DHCP 給 ~~ 不然就是 定MAC Address

14
xyz625
iT邦研究生 3 級 ‧ 2009-12-28 11:02:33

很好奇,主管的密碼是貼在螢幕上嗎?
若是的話,那便是制度面的問題!
否則在AD下不同的FOLDER都可設不同的權限,
怎可能說COPY就COPY!

nevermind iT邦新手 3 級 ‧ 2009-12-28 11:05:51 檢舉

我也是覺得怪怪的 就算他 帶自身筆電來好了 接上網路 頂多也是可以拉取他個人權限範圍內的檔案

如果這樣被偷走還比較合理 說偷看到主管密碼..這..

那我想檔案權限的分類必須要再做嚴謹一點

14
myfunly
iT邦新手 5 級 ‧ 2009-12-28 11:18:06

是呀!樓主,上來樓提到的是最省的做法就是用 switch 的access rolu 使用Mac address 來做限制,或在配合使用ipsec 的方式來做到重要伺服器只能是公司內的電腦才可以做存取,這樣妳就不用擔心他什麼時候做copy的動做,若在擔心那做只好做文件的加密唷!但費用會高一些.

meilam330 iT邦新手 5 級 ‧ 2009-12-28 17:27:28 檢舉

多謝幫忙,MAC ADDRESS還是有缺點,如盜賊是對電腦管理熟悉,將自己NB的連線IP 變更為公司的電腦IP,我想購買指紋系統作為輔助智慧卡是不錯的提議

jay214 iT邦研究生 3 級 ‧ 2009-12-29 12:13:58 檢舉

如果用 MAC Address 來阻擋的話,就算他將他NB的IP改成跟公司電腦IP一樣也是不能存取的..
關鍵是要買可以做這樣功能的Switch...

jay214 iT邦研究生 3 級 ‧ 2009-12-29 12:18:40 檢舉

例如 D-Link 有類似的機制,他可以先開啟學習模式 將公司內的MAC Address先學習起來,等到學好後就可以將該功能打開,如此有新的機器要連接進switch就會發出警訊..
Port Security每埠最大可設定至16個MAC位址,於偵測出不在清單中的MAC連接網路時,可發出警示予管理者。

14
sungshun
iT邦新手 3 級 ‧ 2009-12-28 11:30:09

該名已離職人員已觸犯刑法
第三六章妨害電腦使用罪
第358條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
但是上條是為告訴乃論,也就是妳們公司必須告他才行。但前提是你們公司握有他登入並copy資料的紀錄,但既然是使用主管的密碼登入, 我想舉證很難
但你們公司使怎麼發現這件事的???

12
paokao
iT邦新手 4 級 ‧ 2009-12-28 16:04:26

**1.請問您若已架設Domain,按道理連接到公司內部網路的電腦應該要加入網域才能使用系統管理者賦予的帳號登入才對,不懂那個不忠誠的員工如何得知Domain Administrator的密碼,否則他是無法加入網域的.
2.另外就是將公司每台電腦能使用內部網路電腦都於路由器中加上MAC Address,只要是不屬於路由器中的網路位置電腦就都無法連線.

以上這樣的建議不知道是否可以解決大大爾後可能會遇到的問題呢?**

16
raytracy
iT邦大神 1 級 ‧ 2009-12-28 17:12:51

Server 2003 原本就內建有檔案安全控管機制, 但預設是沒有打開, 請自行研究微軟的 RMS/IRM 機制, 或是參考: http://www.microsoft.com/hk/office/chinese/solutions/b001.mspx.

一般文件用 Office+AD+RMS 就可以鎖住, 經過 RMS 加密的文件, 只要離開公司的 AD 就無法開啟. 就算他有主管權限可以全部拿走, 也沒有辦法離開公司環境使用.

您好,在這問題上,我想另外問一個問題,就是沒有 Domain Administrator,單機有辦法加入網域嗎?

sailsolitary iT邦研究生 2 級 ‧ 2011-03-18 09:39:28 檢舉

RMS/IRM 這功能要慎用...之前有過讓文件到現在還無法打開的經驗...汗

12
jonesyslee
iT邦新手 3 級 ‧ 2009-12-28 17:18:15

我們公司之前也有類似的問題
最後自己研究出一些方案
也正在RUN,半年了沒問題
1.ADMIN設定使用者密碼長度超過20位數以上(英、數、符號),並將密碼鎖在異地保險箱
2.購買指紋辨識機 ( 約台幣2000左右 ),並設定之(綁住密碼)
3.登入使用指紋辨識,加上稽核設定(記錄全開)
4.在主要SW HUS端設定鎖住MAC ADDRESS,非認證過MAC ADDRESS禁用網路

到現在還沒遇到資料再度被偷的問題了
試試看,希望對你有幫助

12
youshiao
iT邦研究生 1 級 ‧ 2009-12-29 09:16:18

我的建議是, 除了在資訊安全的控管外, 人事制度上的控管也要注意. 新進人員在新進 (試用) 期間, 也應該要設一些控管措施, 包括接觸的文件, 設備, 文具等.

12
sungnoone
iT邦新手 2 級 ‧ 2009-12-30 10:45:15

在資安漏洞定義上,這應該是屬於社交行為所導致的資安問題,是不是微軟的漏洞,恐見人見智。
若一直依賴技術法治,而輕忽人治,恐怕這不會是最後一次。最嚴密的加密都有人可以破了。且一直用嚴密技術加上去,恐怕還沒起到嚇阻作用,反致循規蹈矩作業程序受限,怨聲載道,IT成本加劇,更是少不了的。要三思!

如果是作假的資訊安全,不如不做,不過很多公司都一定會做 做假的資訊安全,因為真的資訊安全,其中一項應該要做到只到電腦面前才能動作該電腦,也就是絕對禁用遠端,這部分有分公司就很難做到。

我要發表回答

立即登入回答