Hvilken Linux bruger i?
--
5950X|Crosshair VIII Formula|64GB RAM
ASUS3090STRIX-OC|PG279Q
980 PRO 2TB|970 EVO+ 2TB|Samsung 860 PRO 2TB
2xSamsung860 QVO 2TB|Corsair AX1600i
Svært at svare på, når du ikke siger, hvilket styresystem det drejer sig om eller hvilken konto de skal logge ind med.
Jeg formoder, at du vil have, at det, at de skal skifte password efter tre måneder og at den skal låse efter 5 minutter, har noget med sikkerhed at gøre, men det får I ikke noget ud af. Det giver ingen sikkerhed. Hvorfor lige hver 3. måned - hvorfor ikke hver 14. dag, eller kun hvert år. Forlader jeres medarbejder computeren, har man hele 5 minutter til at rode med den og lige så lang tid jeres medarbejder er væk. Og hvorfår må der ikke installeres programmer på den - må han heller ikke tilslutten en mus og hvad med drivere osv. Og hvilke data ønsker I at beskytte?
--
Umiddelbart tænker vi windows.
Det kan i nogen tilfælde virke fjollet, men da vi arbejder med en del Pharma virksomheder, så skal der være planer, dokumentation for at alt spiller som man ønsker, der må altså ikke være tilfælde hvor en medarbejder selv har ændret 5 minutter til 10 eller slået det fra.
Det er hele tiden et spørgsmål om risici og denne type virksomheder stiller store krav, hvis man som medarbejder får lov til at tage PCen med hjem også selvom vi ikke er Pharma, men fordi vi samarbejder med dem, så er der hårde krav til at vi kan dokumentere alt fra hvad der er på PCerne til at ændring af password sker i forhold til planerne.
--
Gæstebruger, opret dit eget login og få din egen signatur. Hvis Windows vil jeg foreslå AD group policies samt at brugerne ikke har administrative rettigheder.
Så kan de ikke pille ved tingene og så snart maskinen har været på jeres AD netværk én gang er reglerne sat i kraft.
--
Det #4 siger.
Overvej den med password-skifte hver 3. måned.
Jeg taler lidt for døve øren mange steder, men en af de største scam-trusler handler om at man "får en mail fra IT" og skal skifte password. Det skal man aldrig, hvis det aldrig skal skiftes.
Det med at skifte hver 3. eller 6. måned (altid midt i nogens ferie, eller sygdom, eller noget) kræver også kontakt til IT, og er også et "point of failure".
JEG er overbevist om at sikkerheden er MEGET højere ved at lade brugerne vælge et password som de *KUN BRUGER TIL DET* - og så lade dem beholde det. (...det er jeg ike den eneste der mener, men det er ligemeget i denne sammenhæng :)
Og ja - den der med at "skærmen låser efter 5 minutter" er sådan et "spil for galleriet" værdiløst tiltag. Alle har politkken (måske med 10 eller 15 minutter) - fordi "det gør man" - men det giver nul mening. Lær folk at låse deres PC, også når de henter kaffe. (og ja..held og lykke med det, I know :)
--
"ORK SATME!"
Angående password og skærmlås, kan det nemt laves lokal med Group Policy i Windows. Det er værre med styring af godkendte apps. Du kan nemt sørge for at ingen apps kan installeres uden administrativ rettighed. Hvis det er strengt nødvendig med et app katalog, ville jeg også vælge at få AD vejen. Her skal man være opmærksom på at styresystemet skal understøtte dette, fx Windows 10 proffesionel.
--
0#
Lokalt AD med en VPN
eller
AzureAD med Intune og Endpoint Management.
Mulighederne er mange - men du giver jo stort set ingen info, så vi kan gætte herfra og til jul.
--
IDGAF!