各位大大,我公司為小型企業,設有伺服器SERVER2003,利用DOMAIN將資料分享使用,最近來了個不忠誠的員工,他自帶來NOTEBOOK抄錄,將DOMAIN內的資料抄走,原本他是DOMAIN USER沒有權限,他偷看主管密碼,翌日,發現後已辭退,但我不知怎樣防範下一次,請幫助,謝謝
已邀請的邦友 {{ invite_list.length }}/5
請將網域驗證增加 OTP(One Time Password) or 智慧卡驗證,如此就算知道對方的密碼,沒有對方的 OTP鑰匙 or 智慧卡 哪也是無效的...
那就得用資安軟體了。例如: x-fort。他要帶也帶不走
...『他偷看主管密碼』....
關於這一點,可能很難解。
為何他能『偷看』?是不是再哪些方面出了非技術性問題?
不然,哪天如果他『偷看了Domain Administrator密碼』那不就天下大亂
該做的,應該是先查出那位使用者怎麼會知道主管的密碼才是重點。
偷看?怎麼看?座位規劃不良?還是使用者安裝監聽軟體?
先找出使用者入侵的管道,才能針對入侵管道防堵。
根據你的描述..
Domain的權限己經設定完成,
卻因為認證的機制尚未強化,
讓密碼成為你防護環節中最弱的一環,
我覺得jay大的建議蠻不錯的..
或許可以嘗試利用雙認證方式來加強這一點,
使用OTP動態密碼(建置管理較簡單)或智慧卡(需maintain CA,較不推)
都是很不錯的方式,可以防止密碼被竊取,可以參考看看。
以Mac Address來限制是否能否存取內部網路
是個不錯的方法!
然後再限制USB外接裝置的使用!
這樣就可以達到一定程度的防範!
任何不在你列表中的Mac Address,是不允許存取內部網路的!
他主管的權限可以 Join Domain ??可以看 Domain Tree
還是只是將 資料夾內的文件 下載走?
你是如何知道 他非法下載(商業機密保護法)..
通常最不花錢的方式 就是要求員工簽立 員工規範 ~
IP 不要用 DHCP 給 ~~ 不然就是 定MAC Address
很好奇,主管的密碼是貼在螢幕上嗎?
若是的話,那便是制度面的問題!
否則在AD下不同的FOLDER都可設不同的權限,
怎可能說COPY就COPY!
是呀!樓主,上來樓提到的是最省的做法就是用 switch 的access rolu 使用Mac address 來做限制,或在配合使用ipsec 的方式來做到重要伺服器只能是公司內的電腦才可以做存取,這樣妳就不用擔心他什麼時候做copy的動做,若在擔心那做只好做文件的加密唷!但費用會高一些.
多謝幫忙,MAC ADDRESS還是有缺點,如盜賊是對電腦管理熟悉,將自己NB的連線IP 變更為公司的電腦IP,我想購買指紋系統作為輔助智慧卡是不錯的提議
如果用 MAC Address 來阻擋的話,就算他將他NB的IP改成跟公司電腦IP一樣也是不能存取的..
關鍵是要買可以做這樣功能的Switch...
例如 D-Link 有類似的機制,他可以先開啟學習模式 將公司內的MAC Address先學習起來,等到學好後就可以將該功能打開,如此有新的機器要連接進switch就會發出警訊..
Port Security每埠最大可設定至16個MAC位址,於偵測出不在清單中的MAC連接網路時,可發出警示予管理者。
該名已離職人員已觸犯刑法
第三六章妨害電腦使用罪
第358條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
但是上條是為告訴乃論,也就是妳們公司必須告他才行。但前提是你們公司握有他登入並copy資料的紀錄,但既然是使用主管的密碼登入, 我想舉證很難
但你們公司使怎麼發現這件事的???
**1.請問您若已架設Domain,按道理連接到公司內部網路的電腦應該要加入網域才能使用系統管理者賦予的帳號登入才對,不懂那個不忠誠的員工如何得知Domain Administrator的密碼,否則他是無法加入網域的.
2.另外就是將公司每台電腦能使用內部網路電腦都於路由器中加上MAC Address,只要是不屬於路由器中的網路位置電腦就都無法連線.
以上這樣的建議不知道是否可以解決大大爾後可能會遇到的問題呢?**
Server 2003 原本就內建有檔案安全控管機制, 但預設是沒有打開, 請自行研究微軟的 RMS/IRM 機制, 或是參考: http://www.microsoft.com/hk/office/chinese/solutions/b001.mspx.
一般文件用 Office+AD+RMS 就可以鎖住, 經過 RMS 加密的文件, 只要離開公司的 AD 就無法開啟. 就算他有主管權限可以全部拿走, 也沒有辦法離開公司環境使用.
我們公司之前也有類似的問題
最後自己研究出一些方案
也正在RUN,半年了沒問題
1.ADMIN設定使用者密碼長度超過20位數以上(英、數、符號),並將密碼鎖在異地保險箱
2.購買指紋辨識機 ( 約台幣2000左右 ),並設定之(綁住密碼)
3.登入使用指紋辨識,加上稽核設定(記錄全開)
4.在主要SW HUS端設定鎖住MAC ADDRESS,非認證過MAC ADDRESS禁用網路
到現在還沒遇到資料再度被偷的問題了
試試看,希望對你有幫助
我的建議是, 除了在資訊安全的控管外, 人事制度上的控管也要注意. 新進人員在新進 (試用) 期間, 也應該要設一些控管措施, 包括接觸的文件, 設備, 文具等.
在資安漏洞定義上,這應該是屬於社交行為所導致的資安問題,是不是微軟的漏洞,恐見人見智。
若一直依賴技術法治,而輕忽人治,恐怕這不會是最後一次。最嚴密的加密都有人可以破了。且一直用嚴密技術加上去,恐怕還沒起到嚇阻作用,反致循規蹈矩作業程序受限,怨聲載道,IT成本加劇,更是少不了的。要三思!
iThome鐵人賽
看影片追技術