离开时如何强制执行锁定工作站？这很重要吗？

Question

在您的组织内，是否每位开发人员在离开工作站时都需要锁定他的工作站？

当工作站解锁时，您认为存在哪些风险？与“线上”（网络黑客）安全风险相比，您认为这些风险如何重要？

您认为哪些政策最有效地强制锁定工作站？ （这些政策可能是“技术性的”，例如要锁定屏幕保护程序的域组安全设置，还是“社交”，例如对未锁定或鼓励Goating的人应用一些处罚？ ）

Answer 1

主要的现实世界风险是你的同事"goating"你。您可以通过设置组策略以在X分钟后运行屏幕保护程序来强制执行此操作，这也可以锁定计算机。

Answer 2

对我来说，这已成为习惯。在Windows计算机上，按 Windows-L 是锁定计算机的快速方法。

解决方案可能是社交而非技术。说服人们，当他们离开时，他们不希望任何其他人阅读他们的电子邮件或欺骗他们的帐户。

Answer 3

在我的组织（政府）中，是的。我们处理敏感数据（医疗和SSN）。这对我来说是本能的：每当我走开时​​都会看到Windows + L.

该政策既是社会政策，也是技术政策。在社交方面，我们被提醒个人安全很重要，每个人都知道我们所知道的数据。在技​​术方面，工作站使用组策略，在2分钟后打开屏幕保护程序，打开“恢复时，密码保护”（并且无法关闭）。

Answer 4

我曾经在一家非常大的公司工作，工作站需要将你的徽章插入其中才能工作。你不允许在建筑物内移动（你需要徽章才能打开门）没有你的徽章。从工作站的智能卡读卡器中取出徽章会自动将您注销。

关闭主题，但更整洁，工作站更像是“网络站”（请注意，使用我刚刚描述的系统并不是必需的）并且徽章举行了会议。将它弹出到另一个建筑物中的另一个工作站，这就是你在另一台计算机上拔出徽章时离开它的会话。

所以他们基本上通过强制人们注销他们的工作站解决了这个问题，我认为这是实施任何类型的安全关键策略的最佳方式。人们忘记了，这是人性。

Answer 5

不，但我是1的组织 - 我最后一次在一个大型组织工作时，我们不是必需的，而是鼓励的。如果我和其他人在环境中，我可能会在离开时锁定我的工作站。 当然，具有物理访问权限的人可以添加硬件键盘记录器，但锁定它确实可以增加额外的安全性。根据您所在组织的类型，我认为风险更多来自内部组织窥探而非线上攻击。

Answer 6

Goating会让你被解雇，所以我不推荐它。但是，如果不你工作的情况，它就会有效，即使只是一封广泛的电子邮件说“我将永远锁定我的工作站。”

至少，机器应该在X分钟不活动后自行锁定，这应该通过组策略设置。

安全就是提高标准，做出更多努力来完成不好的事情。根本没有锁定你的工作站。

Answer 7

我正在运行Pageant并将SSH公钥分发到所有服务器上。坐在我的工作站上的任何人都可以使用我的钥匙基本上登录任何帐户。

因此我总是锁定我的机器，即使是30秒的休息时间。 （Windows-L基本上是我所知道的唯一基于Windows密钥的快捷方式。）

Answer 8

每次去咖啡时锁定工作站意味着您每天输入密码10次而不是一次。你身边的每个人都可以看到你输入它。一旦他们拥有该密码，他们就可以用远程计算机冒充你了，这比在办公室里和大家一起观看时使用你的电脑要困难得多。那么锁定工作站肯定会带来更大的安全隐患吗？

Answer 9

我们结合社交和技术方法来鼓励IT人员锁定他们的PC：默认屏幕保护程序/锁定设置加上goating威胁。 （我工作的最后一个地方实际上锁定了屏幕保护程序设置。）

要记住的一件事是，如果您有跟踪活动，更改或两者的应用程序（特别是如果它们是SSO），那么如果您无法确定用户是否记录了所收集的数据，那么您收集的数据可能会降低价值数据是实际进行这些更改的用户。

即使在像我们这样的公司，大多数用户都没有很多与公司相关的敏感信息，但有可能有人通过未锁定的工作站从其他员工处获取NBR数据。有多少人将密码保存到计算机上的网站上？亚马逊？幻想足球？ （一种危险的射门技术：从一个别人的名单中剔除一名关键球员。如果你和他一起上场，那真的很有趣，所以球员可以恢复......）

另一件需要考虑的事情是，您不能确定您建筑物中的每个人都属于那里。如果你真的在建筑物中，那么攻击网络要容易得多：当然，建筑物中的绝大多数人都在那里因为他们被允许，但你真的不想成为受害公司的时候百万人中有一个人进入大楼。 （它甚至不一定是故意的坏人：它可能是某个人的孩子，朋友，亲戚......）当然让那个人进入的员工也可以让那个人使用他们的电脑，但那种攻击更难以阻止。

Answer 10

我唯一能看到真正重要的地方是政府，国防和医疗机构。实施它的最佳方法是通过Windows上的用户策略和Unix系统上的“点文件”，在您登录时为您预先选择屏幕保护程序和超时，并且不允许您更改它们。

Answer 11

我从不锁定我的工作站。

当我的同事和朋友嘲笑我，并且发誓要从我的机器发送尴尬的电子邮件时，我嘲笑他，因为当我可以实际访问他的机器时锁定会发生任何事情，并且我将他链接到这个网址：

http://www.google.com/search?hl=en&q=USB+keylogger

我不会处理我的同事不能同等访问的任何敏感数据，但我怀疑工作站锁定对一个坚定的窥探同事的有效性。

编辑：我没有锁定的原因是因为我曾经，但它在Windows中不断创建奇怪的不稳定性。我只是按需重新启动，所以我希望我的机器可以运行几个月而不会变得不稳定并且锁定会阻碍。

Answer 12

我以前工作过的地方有一个关于永远锁定工作站的政策。他们通过设置公司范围的邮件列表来强制执行 - 如果您将工作站解锁，您的同事会从您的帐户向列表发送令人尴尬的邮件，然后锁定您的计算机。它很有趣，也有点讨厌，但它通常都有用。

Answer 13

我们需要工作，我们自己执行。群众聊天开始表现出对人的爱，发送电子邮件，改变背景等等。第一天喜欢新员工的时候，每个人都肯定会留下一个很好的说明：）

Answer 14

你可以开始坐在人们的工作站上，并在他们离开后立即加载[在这里插入任何不好的东西]。那我的确可以。

Answer 15

我在一个供应我们设备的人来自与我们直接竞争的公司工作的地方工作。当设备需要维护时，他们在建筑物内。一封电子邮件会不时出现，然后说它们会在那里，当你不在时，请锁定你的机器。如果竞争对手因为开发人员忘记锁定他们的机器而获得我们的来源，那么开发人员就会寻找新工作。

Answer 16

在我访问的一些/大多数政府办公室中，有可能让公众走动，他们有智能卡插入PC上的USB读卡器。该卡位于用户颈部周围的项链上，并在工作台移除后将其锁定。

Answer 17

我个人认为风险很低，但根据我的经验，大部分时间都不是意见问题 - 对于那些真正进入并审核您的安全性的大公司或政府客户来说，这通常是必需的。在这种情况下，某种技术（组策略）解决方案最好，因为您实际上可以证明您符合要求。如果存在法律隐私要求（如医疗数据和HIPAA），我也会这样做。

Answer 18

如果您的计算机已解锁，我公司的所有者（以及开发人员）会对您的代码窗口进行细微更改，让您疯狂地想知道为什么您的代码在找到之前无法正常工作。

不得不说，在听到这个恶作剧之后我从来没有让我的电脑解锁，我对我的一些代码感到非常疯狂。

Answer 19

您可以设置一个简单的万无一失的方法，将指纹识别器插入为您的密码编程的计算机中，然后将该项链与USB接收器一起使用，如果您离开工作站，屏幕保护程序会主动锁定它，然后当你出现在范围内时，从指纹读取器上滑下手指以解锁工作站 - 我认为这样做是一种非常便宜的方式，简单，不干扰，杂乱无章，不会忘记通过'WinKey锁定+ L'

希望这有帮助， 最好的祝福， 汤姆。

Answer 20

这很重要还是一个好习惯？在您自己的房子里锁定您的计算机可能并不重要，但如果您在客户的办公室并走开，那么我会说这很重要。

至于如何执行...

在Don't Forget To Lock Your Computer上阅读Jeff的博客文章后;我喜欢将同事的桌面背景改为......

1,238px×929px

毋庸置疑，同事们开始锁定他们的电脑。

Answer 21

GateKeeper是一个简单的解决方案。当用户离开时，它会自动锁定工作站，当用户回到计算机的范围内时，它会自动解锁。它还可能需要双因素身份验证和其他锁定/解锁方法。