强制用户移除 USB 令牌

信息安全 多因素 USB 比特锁
2021-08-14 15:32:42

我正在寻找使用带有预启动 PIN 和启动密钥的 BitLocker 设置安全笔记本电脑。

我想知道是否有一种方法可以强制远程用户在登录或使用 Windows 之前使用启动密钥移除 USB。否则,有什么办法可以让用户不让 USB 一直处于连接状态,而这几乎会否定它的价值?

当然,一种方法是让用户不切实际地保持 USB 连接,就像将它永久连接到一个大物体上一样。但这通常也是不切实际的,也不是一个很好的解决方案。

是否有解决方案或标准方法可以实际强制移除设备?

4个回答

您正在尝试使用技术工具来解决社会问题。答案是不适合。

正确使用技术可以提供很大的安全性,但只有用户教育才能允许正确使用。我经常喜欢谁负责什么问题。这意味着用户应该知道他们将对使用其凭据可以完成的任何事情负责。仅仅证明他们没有这样做是不够的,他们应证明他们正确地保护了他们的凭证。

物理类比也有帮助。他们不会让物理保险箱的钥匙无人看管。他们应该明白,当他们获得合理安全的凭证时,他们应该将其视为物理密钥并以同样的方式使用它。但由于他们习惯了自己的家用电脑,根本没有安全保障,教育很难,事情要重复。不幸的是,我从来没有找到更好的方法......

在我看来,启动脚本可以检查已安装的 USB,如果在显示消息时安装了 USB,则可以阻止 wifi/网络。

一个简单的轮询功能可以检查连接的新 USB。

这一切都可以在 Powershell 中实现。

这将解决安装 USB 的问题,并迫使用户在使用笔记本电脑之前弹出。并不能解决用户之后用 USB 做什么的问题。我可以很容易地想象用户拔掉插头开始使用笔记本电脑,然后在他们合上盖子后将 USB 插回“以存储它”。

这可能不是最好的方法,我不能说我认可它,但我已经看到它在实践中使用:

您可以让保安人员在夜间巡逻,随身携带任何插入计算机的 USB 密钥或令牌并填写安全事件。如果第二天用户去取他们的 USB 东西,他们会亲自受到官方的谴责。如果他们不这样做,他们会受到更严厉的谴责,因为他们没有注意到或报告他们丢失的东西。让这些谴责严重影响他们的薪水,或者用太多的谴责解雇员工。

如果强制执行,您可以确定该政策将非常不受欢迎,但有效。

编辑:您在评论中添加了您的方案适用于不在本地的移动用户。恐怕我的提议不能适用于这种情况。我仍然会离开可能会回答,因为它可能对其他试图在其场所执行安全策略的人仍然有用。

我不是那么技术,但这似乎是可能的:

USB 密钥必须执行某些操作,例如响应枚举,或通过 API 响应请求以验证密钥。所以第一个问题是这些是否可以使用。您可能需要检查技术文档以了解这种可能性:

  • 如果设备是公司所有但移动设备,您可以安装一个脚本来测试它,如果在接受初始验证后设备保持枚举或响应超过 2 分钟,则终止验证/访问。这应该可以确保用户养成自动移除密钥的习惯——如果他们不这样做,设备就不会让他们工作。

  • 如果某些设备是 BYO(自带),那就更难了。也许访问方法或密钥本身允许某种持续验证,可以重新调整用途(如果持续访问超过几分钟,则终止)。如果需要,请购买一种允许这样做的密钥。

  • 如果无法进行服务器端或单方面操作的检查,从而无法在服务器端执行某些操作来检查 USB 密钥状态,那么您将被迫退回到客户端软件/脚本。如果一个人想带上自己的设备,通常会有这方面的政策,有时,在某些公司,用户必须运行或安装公司提供的脚本/软件/VPN/证书/无论他们想使用什么他们自己的设备在公司的网络上,所以也许这是一个可以接受的选择。