Domanda:
Forza l'utente a rimuovere il token USB
IamNaN
2019-03-12 11:59:53 UTC
view on stackexchange narkive permalink

Sto cercando di configurare laptop sicuri utilizzando BitLocker con PIN di pre-avvio e chiave di avvio.

Mi chiedo se esista un modo per costringere l'utente, che è remoto, a rimuovere USB con la chiave di avvio prima che possano accedere o utilizzare Windows. Altrimenti, cosa impedirebbe all'utente di lasciare l'USB sempre collegata, il che annullerebbe praticamente il suo valore?

Un modo, ovviamente, è rendere poco pratico per l'utente lasciare l'USB collegata, come collegarla in modo permanente a un oggetto di grandi dimensioni. Ma è anche generalmente poco pratico e non è un'ottima soluzione.

Esiste una soluzione o un approccio standard per questo che può effettivamente forzare la rimozione del dispositivo?

Potresti inserire nella tua politica della scrivania pulita che nessun token USB possa essere lasciato collegato dopo l'avvio e portare via ogni token che trovi nelle tue passeggiate di audit * non annunciate, spontanee * - Ha funzionato come un incantesimo per le SmartCard (non presidiate) nel mio vecchioazienda :)
Purtroppo, anche quando i computer lo rendono un requisito, molte persone pigre scollegheranno solo parzialmente il token quanto basta per interrompere la connessione elettrica, ma non abbastanza per rimuoverlo e metterlo in un posto sicuro.
È vero, solo una corretta formazione degli utenti può fare la differenza.
Sono d'accordo che alcuni utenti faranno sicuramente la cosa pigra di scollegarlo quanto basta ma lasciandolo nella porta.Tuttavia, anche se la metà degli utenti lo fa e l'altra metà saluta e scollega come dovrebbero, penso che sia molto meglio che nessuno lo fa.L'educazione degli utenti ha un effetto simile: alcuni applicheranno ciò che viene loro insegnato e alcuni non lo faranno mai o solo per un po 'e poi seguiranno di nuovo la via pigra ...
Qual è il comportamento desiderato qui?Vuoi che lo rimuovano e che cosa ci facciano?Tienilo nella borsa del laptop?Tienilo in tasca?Tienilo in un cassetto chiuso a chiave?Collegarlo a un altro dispositivo che enumera quali chiavi sono state restituite?Se sei chiaro su questo punto, potresti trovare alcune opzioni più utili.
@schroeder - Il mio scenario è di utenti mobili che non sono in sede, con laptop contenenti dati riservati che devono essere protetti.Quindi, una volta rimosso il dispositivo, dovrebbero tenerlo sulla propria persona - portachiavi, portafoglio ecc. La configurazione sarà accompagnata da una politica che stabilisce cosa fare con il dispositivo e come gestirlo e perché è importante che lo faccia.semplicemente non voglio fare affidamento solo su questo.
Potresti raccomandare o richiedere che la chiave sia attaccata ai loro cordini (che devono indossare).Difficile lasciarlo collegato quando è attaccato al collo;)
Cordini @Baldrickk quando non sono in prem?
@IamNaN quindi il tuo vero problema non è che sia collegato, è che l'USB non si trova in un luogo approvato (tenerlo nella borsa del laptop è ugualmente un problema).Espellere il dispositivo non è in realtà un tuo problema.
@IamNaN Se parte della tua preoccupazione è anche lasciare il dispositivo parzialmente collegato, allora questo non è affatto un problema tecnico ma comportamentale.Se sei disposto ad abbandonare la tua preoccupazione per le USB collegate a metà, allora si aprono le opzioni tecniche.
Cos'è il token USB - Yubikey?
@IamNaN Quale vettore di attacco impedisce il pin / chiave di pre-avvio che non viene aggirato semplicemente prendendo l'intera macchina?
@MooseBoys [Memory remanence] (https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures#attack-countermeasures) (attacchi di avvio a freddo)
@schroeder a casa?nessun problema - presso il sito di un cliente?avere la tua carta d'identità non può far male.Al pub con il wifi pubblico?forse no, ehm.non incoraggiarlo nel mio lavoro, ma se lo facessi, probabilmente l'avrei in tasca invece che acceso.Un'alternativa potrebbe essere allegata alle tue chiavi.
Tengo la mia YubiKey su un cordino attaccandola al portafoglio con le chiavi magnetiche necessarie per tornare nel mio ufficio dopo essermi allontanato: chiuditi fuori dall'edificio un paio di volte e si prende l'abitudine di afferrarlo sempre quando ci si allontana.Se controlli la sicurezza delle strutture, potrei vedere un accoppiamento comparabile (distribuzione di token di edificio e host insieme) utilizzato come misura di applicazione delle politiche.
@IamNaN se esiste comunque una politica aziendale del genere, è sufficiente inserire l'obbligo di scollegare il dispositivo nella stessa politica aziendale.E assicurati che tutto abbia un senso, richiedere cose non sensate in una parte di una politica è un modo sicuro per far sì che le persone ignorino anche le parti sensibili.Per esempio.la nostra azienda non consente di lasciare documenti sulle scrivanie, ma non fornisce armadi chiusi a chiave per riporli e molte stanze non ne hanno affatto, quindi le persone li mettono semplicemente in un sacchetto di plastica.Difficilmente sicuro ma soddisfa la politica ...
Otto risposte:
Serge Ballesta
2019-03-12 16:32:45 UTC
view on stackexchange narkive permalink

Stai cercando di utilizzare uno strumento tecnico per risolvere un problema sociale. La risposta è che non va bene.

Le tecniche possono fornire una grande sicurezza se usate correttamente, ma solo l'istruzione dell'utente può consentirne un uso corretto. Spesso mi piace il chi è responsabile di cosa domanda. Ciò significa che gli utenti dovrebbero sapere che saranno responsabili di tutto ciò che potrebbe essere fatto con le loro credenziali. Non è sufficiente dimostrare che non l'hanno fatto, devono dimostrare di aver protetto correttamente le loro credenziali.

Anche l'analogia fisica può aiutare. Non lascerebbero incustodita la chiave di una cassaforte fisica. Dovrebbero capire che quando vengono fornite credenziali ragionevolmente protette, dovrebbero vederlo come una chiave fisica e usarlo allo stesso modo. Ma poiché sono abituati al proprio computer di casa senza alcuna protezione, l'istruzione è difficile e le cose devono essere ripetute. Purtroppo non ho mai trovato un modo migliore ...

Grazie e sono d'accordo con il fatto che l'educazione è l'aspetto importante, critico e più importante.Tuttavia, penso anche che un fattore aggiuntivo per imporre questo comportamento, se possibile, sia appropriato.Se un laptop con dati riservati finisce nelle mani sbagliate, il mio problema più grande è che i dati ora sono nelle mani sbagliate, non di chi è la colpa se i dati sono finiti lì.Quindi se oltre all'istruzione posso aggiungere un altro fattore per ridurre questo rischio, voglio implementarlo.Non dovrebbe essere l'unica soluzione definitiva.
Non credo sia un problema sociale.I token FIDO hanno risolto tecnicamente questo problema con un pulsante di "presenza utente".Puoi lasciare il token FIDO collegato continuamente, e alcuni sono [progettati esattamente per quello] (https://www.yubico.com/product/yubikey-5-nano/).È buono come scollegato fino a quando qualcuno non preme il pulsante.Il problema è che Bitlocker utilizza un dispositivo di archiviazione di massa per l'autenticazione, qualcosa che va oltre il suo design originale.
È lo stesso motivo per cui complicati schemi di password non possono impedirti di registrare un post-it sul tuo monitor.
@corsiKa, infatti, lo incoraggiano.
@IamNaN fintanto che il token e il laptop sono in possesso della stessa persona in qualsiasi momento, c'è il rischio che anche entrambi cadano nelle mani sbagliate contemporaneamente.Per evitare che il token e il laptop vengano compromessi insieme, l'unico modo è che il token sblocca ogni laptop per non essere mai nelle mani della persona che utilizza il laptop, il che è chiaramente del tutto impraticabile.
schroeder
2019-03-12 19:47:29 UTC
view on stackexchange narkive permalink

Mi sembra che uno script di avvio possa verificare la presenza di USB montati e bloccare il wifi / rete se c'è un USB montato mentre mostra un messaggio.

Una semplice funzione di polling potrebbe verificare la presenza di nuove USB collegate.

Tutto ciò è possibile in Powershell.

Ciò risolverebbe il problema di avere le USB montate e costringerebbe l'utente a espellere prima di utilizzare il laptop. Questo non risolve il problema di ciò che l'utente fa successivamente con l'USB. Posso facilmente immaginare che gli utenti si scolleghino per iniziare a utilizzare il laptop, quindi ricolleghino l'USB "per riporlo" una volta chiuso il coperchio.

Grazie.Hai sicuramente ragione!Anche prendendo in considerazione il tuo commento "la posizione dell'USB è il problema".Prendendo tutte le risposte e i commenti ricevuti finora, sembra poco senso perseguire questo come misura di sicurezza aggiuntiva e sembra meglio concentrarsi sulla definizione di politiche adeguate per l'uso e il comportamento, oltre alla formazione e all'istruzione.
@IamNaN Sono d'accordo con la tua valutazione.La tecnologia * supporta * comportamenti sicuri ma non è efficace nel forzare comportamenti sicuri.Formazione, spiegazioni e suggerimenti chiari saranno migliori.Utilizzare un popup di avvio per ricordare agli utenti di mettere l'USB in tasca (non con il laptop).
Usa questo grafico per capire dove devi concentrare i tuoi sforzi per cambiare il comportamento: https://www.behaviormodel.org/
`schtasks` ha` ONSTART` per eseguire lo script all'avvio.Potrebbe usare "ONLOGON" per eseguire lo script e chiedere all'utente.Quindi collegare lo script a EventId quando è collegato un USB e verificare se è il bitlocker USB.
A. Hersean
2019-03-12 17:49:37 UTC
view on stackexchange narkive permalink

Questo potrebbe non essere il modo più carino per farlo, e non posso dire di approvarlo, ma l'ho visto usato nella pratica:

Potresti far pattugliare le guardie di sicurezza di notte, prendendo qualsiasi Chiave USB o token collegato a un computer con loro e riempimento di un incidente di sicurezza. Se il giorno successivo gli utenti vanno a prendere le loro cose USB, ricevono un rimprovero ufficiale di persona. Se non lo fanno, ricevono un rimprovero più forte perché non hanno notato o segnalato la loro cosa mancante. Fai in modo che i rimproveri si riflettano male sul loro stipendio o licenzia i dipendenti con troppi rimproveri.

Se applicata, puoi essere certo che questa norma sarà molto impopolare, ma efficace.

Modifica: hai aggiunto in un commento a cui è rivolto il tuo scenario utenti mobili che non sono in sede. Temo che la mia proposta non possa essere applicata in questo caso. Potrei comunque rispondere in quanto potrebbe essere ancora utile per altri che tentano di applicare le politiche di sicurezza nei loro locali.

Questo dovrebbe davvero essere l'ultima risorsa.
Nell'azienda precedente in cui stavo lavorando, dopo alcuni furti, i laptop dovevano essere bloccati nel loro pad.Di notte, le guardie di sicurezza raccoglievano qualsiasi laptop sbloccato o qualsiasi laptop con la chiave sul lucchetto e tu dovevi andare a prenderlo al posto di sicurezza.La gente brontolava, ma dopo un mese o due era piuttosto raro vedere qualcuno che si dimenticava di chiudere a chiave il proprio laptop.
"Fare in modo che i rimproveri si riflettano male sul loro stipendio" è illegale nella maggior parte delle culture che conosco.
@Flater Dipende da come è fatto.Può essere un bonus ridotto o un aumento di stipendio annuale ridotto.Molto probabilmente, i rischi associati agli incidenti di sicurezza dovranno essere scritti nel contratto, ma non sono un avvocato.So solo che tali sanzioni possono essere applicate legalmente almeno in un paese, poiché sono sicuro che un enorme team di avvocati ha esaminato la politica che ho visto.Un accordo di non divulgazione mi impedisce di rivelare di più.
Può essere reso più morbido se la chiave del primo trasgressore non viene rimossa, ma ha solo una nota di carta allegata.Seconda volta = chiave USB rimossa + rimprovero orale (non ufficiale);terza volta = rimprovero ufficiale (ma nessuna diminuzione dello stipendio), quindi diminuzione dello stipendio nominale (ad esempio $ 1) e così via.
@Flater Dipende da come viene proposto / implementato.Immagina un bonus variabile nella busta paga, quando la politica non viene seguita il bonus diminuisce.Ciò si adatterebbe alle leggi della maggior parte dei paesi perché non sarebbe una sanzione ma "un bonus variabile"
Stilez
2019-03-13 00:26:49 UTC
view on stackexchange narkive permalink

Non sono così tecnico, ma sembra possibile:

La chiave USB deve eseguire determinate cose, come rispondere all'enumerazione o alle richieste tramite API per convalidare la chiave. Quindi la prima domanda è se quelli possono essere usati. Potrebbe essere necessario controllare la documentazione tecnica per questa possibilità:

  • Se i dispositivi sono di proprietà dell'azienda ma mobili , è possibile installare uno script che lo collauda e se un dispositivo rimane enumerato o risponde per più di 2 minuti dopo l'accettazione della convalida iniziale, la convalida / l'accesso viene interrotto. Ciò dovrebbe garantire agli utenti di sviluppare l'abitudine automatica di rimuovere le chiavi: il dispositivo non li lascerà funzionare se non lo fanno.

  • Se alcuni dispositivi sono BYO (porta il tuo) allora è più difficile. Forse il metodo di accesso o la chiave stessa consente una sorta di convalida continua, che potrebbe essere riproposta (se è presente un accesso in corso oltre alcuni minuti, terminare). Se necessario, acquista un tipo di chiave che lo consenta.

  • Se un controllo lato server o unilateralmente non è possibile, quindi non puoi fare qualcosa sul lato server per controllare lo stato della chiave USB , allora sei costretto a ricorrere al software / script lato client. Se una persona vuole portare il proprio dispositivo, ci sono spesso politiche al riguardo e, a volte e in alcune aziende, l'utente deve eseguire o installare uno script / software / VPN / certificato / qualsiasi cosa se desidera utilizzare il proprio dispositivo sulla rete aziendale, quindi forse questa è un'opzione accettabile.

Graham
2019-03-13 13:07:03 UTC
view on stackexchange narkive permalink

Perché pensi che questo token USB da solo stia proteggendo il laptop?

Questa è una situazione di autorizzazione a due fattori. Per coloro che non hanno mai incontrato il concetto prima, 2FA è descritto come "qualcosa che conosci e qualcosa che hai". Il dongle USB è il "qualcosa che hai", ma il laptop è ancora protetto dal "qualcosa che conosci", cioè una password. 2FA ha lo scopo di aggiungere un livello che consente a un fattore di essere ridondante, quindi non rende il sistema insicuro se l'attaccante ottiene il token di sicurezza, a condizione che l'utente non abbia anche la password annotata. Ovviamente è meglio che non rompano un braccio della sicurezza, ma il laptop dovrebbe comunque essere protetto se lo fanno.

Anche costringere l'utente a rimuovere la chiave ha un grosso problema. La sicurezza del laptop è un ripensamento, per proteggere i file locali che l'utente potrebbe avere in giro, che è un piccolo sottoinsieme dei dati della tua azienda. La parte di fondamentale importanza è proteggere l'accesso dell'utente alla tua rete. Le reti, in particolare le VPN, sono valide solo quanto la loro sicurezza di accesso. Quindi, se sei preoccupato per la sicurezza, la tua VPN dovrebbe controllare che il token Bitlocker sia presente quando l'utente accede alla VPN e che non lasci mai la macchina durante quella sessione di accesso . In caso contrario, l'utente potrebbe essersi accidentalmente lasciato connesso quando ha chiuso il coperchio e ha pensato che il computer fosse spento o in vari scenari simili. Non si può supporre che "abbiano effettuato l'accesso OK in passato, quindi stanno ancora usando la macchina".

In breve, penso che tu stia pensando troppo a un'area e senza considerare il quadro più ampio di come aiuta la sicurezza dei dati aziendali.

La risposta più semplice per i dongle USB, ovviamente, è insistere sul fatto che vivono sul portachiavi dell'utente con le chiavi di casa o della macchina. Più di un portachiavi? Nessun problema: possono avere tutti i dongle di cui hanno bisogno. Ma questo garantisce che il dongle venga sempre rimosso dal laptop quando l'utente lo lascia, perché ha bisogno del portachiavi per tornare a casa.

Grazie, ma non ho mai detto che questa fosse l'unica misura di sicurezza e sicuramente non lo è.Stavo semplicemente esplorando la possibilità di aggiungere un altro livello di sicurezza per l'autenticazione pre-avvio.Se questa fosse l'unica misura per proteggere i laptop, sarei pienamente d'accordo con ciò che dici qui.
@graham Penso che tu stia perdendo il punto su quali controlli sono coinvolti e cosa proteggono.Il controllo in questione è la crittografia degli endpoint.Questo non ha nulla a che fare con i controlli dell'account o della rete.
crasic
2019-03-15 11:42:03 UTC
view on stackexchange narkive permalink

Vengo dal mondo della tecnologia di produzione e l'utilizzo di piccole maschere per imporre un certo comportamento manuale sia per la qualità che per la sicurezza è un metodo standard accettato. Non sono d'accordo con la prospettiva che non si possa progettare il comportamento umano ponendo determinati ostacoli, questo viene fatto per la sicurezza umana ed è preso sul serio quanto la sicurezza della rete. Un approccio comune è usare un Poka-yoke, ma si vedono anche interblocchi e interruttore del morto quando sono in gioco vite.

La sfida è come adattare questi concetti alla sicurezza. Anche se sono d'accordo che sarebbe difficile uscire da questo codice in modo affidabile, se allarghi la tua prospettiva per includere lo sviluppo dell'hardware è certamente realizzabile.

Se è importante per te o il tuo datore di lavoro, È possibile progettare un dongle personalizzato che forzi questo comportamento, un approccio sputo sarebbe un taglio temporizzato in cui il dongle si disabilita dopo un certo periodo di tempo sotto tensione. Richiede il ricollegamento.

Se hai un certo controllo sugli utenti e sulla policy del laptop, ma non desideri giocare con la polizia, puoi utilizzare qualsiasi numero di altri impedimenti per incoraggiare il rispetto della tua policy di sicurezza.

Ovviamente, per un utente intraprendente questo è bypassabile, quindi se stai progettando un prodotto di sicurezza venduto ai clienti non sarebbe sufficiente.

Ma credo che l'analogia con poka -yoke è appropriato in quanto aggirare il controllo tecnico da parte di un collega andrebbe contro la politica / procedura e sarebbe soggetto a rimprovero o avvertimento.

Bojidar Stanchev
2019-03-15 18:17:30 UTC
view on stackexchange narkive permalink

Puoi rendere l'USB multiuso rendendo impossibile lasciarlo sul PC. Ad esempio, devono collegarlo a un altro dispositivo per iniziare la loro giornata lavorativa. Puoi dire che vuoi sapere quando vengono al lavoro e l'inizio della loro giornata lavorativa è segnato dalla connessione USB a questo secondo dispositivo.

Questo non è applicabile a tutti i casi, ma lo sto scrivendo con la speranza che possa dare una buona idea a qualcuno.

jwenting
2019-03-15 12:14:46 UTC
view on stackexchange narkive permalink

OK, quindi ora ti sei assicurato in qualche modo che il proprietario del laptop non lasci il suo token collegato.

Tuttavia ora porta con sé quel laptop e il token quando torna a casa e viene rapinato da una spia industriale nel parcheggio. Il risultato è sia il token che il laptop sono come nelle mani di una persona non autorizzata e, peggio ancora, la stessa persona non autorizzata.

Il risultato ovviamente è esattamente lo stesso che sarebbe se il token fosse collegato al laptop, come il malintenzionato può semplicemente collegare il token.

Congratulazioni, hai appena spostato un po 'il limite di sicurezza senza alcun reale guadagno.

Quello che potresti fare è installarne alcuni software sui laptop che blocca lo schermo o addirittura li spegne se il token viene rilevato installato sul laptop dopo l'avvio del sistema operativo. Pronuncia qualcosa che è stato avviato durante l'avvio del sistema operativo e controlla il token ogni pochi minuti. Garantirebbe che il token venga rimosso dopo l'avvio della macchina, ma non impedirebbe il furto sia del token che della macchina.

L'unico modo per garantire questo è un principio a 4 occhi, in cui la macchina non può essere avviata senza che siano presenti almeno 2 persone, una con il token e un'altra con la password.

E questo è un aspetto importante PITA e, soprattutto per i lavoratori remoti, spesso impossibile (poiché i lavoratori remoti tendono a essere soli in un sito).

Questo è già stato chiarito nei commenti alla domanda.Come scritto, non è una risposta alla domanda ma una tangente.Il tuo suggerimento software è già coperto da altre risposte e il tuo suggerimento a 4 occhi non è utilizzabile per lo scenario nella domanda.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...