每周亚游只为非同凡响趣闻-数据泄露

2018年9月12日,
每周亚游只为非同凡响趣闻-数据泄露

我们必须时刻保持警惕,防止恶意软件, 木马, 以及其他不良行为者在我们学校的网络中生根发芽,窃取个人身份信息(PIA)和金钱.   除了web过滤, 杀毒, 打补丁, 现在是先进的端点保护, 我们还必须考虑政策.  我将要列出的一些东西是非常明显的.  其他的可能没有那么明显,但在我们生活的任何时间/任何地点的世界中都是至关重要的.

需要考虑的政策:

  1. 你允许远程访问吗?   如果是这样,是通过VPN还是通过真正的远程访问解决方案网关,如VMware Horizon (aka View)?   记得VPN访问, 这取决于它的配置方式, 是否可能将不在您控制范围内的远程网络暴露给您的内部网络.   最低限度地,它暴露了工作站或笔记本电脑连接,这可能在您的控制之下,也可能不在您的控制之下.   来自非托管机器的vpn可能会让你暴露于病毒/恶意软件,否则你的正常防御系统会阻止你.    如果你在做一个虚拟桌面解决方案, 我们真的不太关心远程用户,因为他们正在使用由你管理的桌面来做他们需要做的事情.  然而, 如果你有剪贴板或USB接口, 您可能允许人们在您的网络中或网络外复制数据.  我们可以通过策略控制剪贴板和USB访问.
  2. 你是否允许在网络浏览器中缓存凭证?   缓存的凭据可以让一个人在不知情的情况下来到您的工作站访问敏感数据.   (i.e. 学生服务,例如SchoolTool).  解决方案是创建一个防止缓存密码的组策略.  请记住,Microsoft Internet Explorer有可用的组策略, 谷歌Chrome, Mozilla Firefox, 和微软的边缘.
  3. 您是否有登录不活动超时和/或定时的密码保护屏幕保护程序?   如果一个老师在给学生打分却不签到,会发生什么?   如果应付款员去吃午饭,会发生什么?  这是一个简单的组策略.
  4. 你是否允许任何远程访问客户端(i.e. LogmeIn, TeamViewer, GotoMyPC等.)?  绝对不能有其他途径进入学校的网络以外的批准, 授权用户可追踪的方式.   这些通常可以通过组策略或防火墙阻止.
  5. 大多数学校要么使用谷歌应用程序,要么使用微软办公软件 365环境.  一些都是.   你是否允许其他未经批准的文件共享应用程序,如Dropbox?   只有微软One Drive和谷歌Drive套件的文件共享应用程序应该被允许.   经过批准的地区管理员可以设置权限, 确定谁可以共享内容,并获得关于正在访问内容的报告.   我们通常可以通过组策略阻止那些未经批准的应用.
  6. 您是否在谷歌应用程序管理或办公室 365中寻找不寻常的访问模式?  谷歌应用程序, 例如, 是否已经大大改善了看到外部访问和其他潜在危险的使用模式.
  7. 您是否强迫那些处理机密数据的人员使用某种形式的多因素身份验证(MFA) ??   你应该.   例如, 谷歌可以向您的手机发送代码,或使用您的手机的GMAIL应用程序批准新的, 外国登录请求.  办公室 365也可以做同样的事情.  也有应用程序绑定到谷歌验证器(免费)和微软验证器(也是免费的).
  8. 你是否允许你的供应商如安全, 暖通空调, 制冷, 报警, 和其他物联网设备来查看你的网络内部,或者它们是独立的, 离散的供应商vlan,允许他们做你雇他们做的事, 但同时要把它们与你的内部网络隔离开来.   新闻中许多广为人知的数据泄露事件都是由于维护不力造成的, 主要企业网络中的第三方设备.
  9. 是否允许浏览器同步?   在我们追求“随时随地”轻松访问的过程中,这是一个更新且潜在的巨大曝光.   谷歌Chrome可以在学校的电脑和区外的电脑之间同步浏览器数据.  下面是谷歌对同步的定义:
    Chrome同步功能是什么?
    默认情况下, Chrome的同步 设置为"同步 一切”. 一切的意思是:应用程序, 自动填充, 书签, 扩展, Omnibox历史, 密码, 设置, 主题, 和开放标签. 同步 所有设备都提供了最一致的体验.2012年8月17日,

    http://support.谷歌.com/chrome/answer/165139?有限公司=精灵.平台% 3 ddesktop&hl = en

    如果你同步的话,默认是最重要的.   这将导致潜在的数据泄漏,就像您在区域中缓存了登录信息一样, 它现在出现在一个非托管的机器上,该机器已同步出该区域.  此外,你还可以将你的个人浏览历史从家里同步到学校的电脑上!  在窗户环境下,Microsoft Edge和Mozilla Firefox具有相同的功能.  我们可以通过组策略来阻止这种行为.   谷歌Chrome同步也可以阻止谷歌应用程序管理员没有组策略.  在苹果环境中,苹果 Safari也做了类似的事情.

  10. 您是否计划添加高级端点保护(AEP),如Paladin CyberSentinel端点检测 & 对你最敏感的财务问题做出回应, 而学生和员工的数据用户则有了额外的一层保护?  你应该.
  11. 在您的终端用户教育中,您是否教导那些从家用电脑访问地区和订阅资源的教师和工作人员应该:
    1. 保持目前的杀毒
    2. 他们的电脑打补丁了吗
    3. 而不是缓存id和敏感数据的密码
    4. 不与他们可能使用的地区网络浏览器同步.
    5. 在家里的电脑上与家人分开登录,以减少无意中缓存的id或密码或同步的个人浏览历史, 等.

虽然这个列表并不完整, 这是一个很好的开始,极大地限制了数据泄漏的可能性.   如果你想实施这些建议或讨论你的具体情况, 给我们打电话.