security - 离开时如何强制锁定工作站？这很重要吗？

Question

在您的组织内，是否每个开发人员都需要在离开时锁定其工作站？

当工作站处于解锁状态时，您认为有哪些风险？与“over-wire”（网络黑客攻击）安全风险相比，您认为这些风险有多重要？

您认为哪些策略对强制锁定工作站最有效？（这些政策可能是“技术性的”，例如要锁定屏幕保护程序的域组安全设置，也可能是“社会性的”，例如对不锁定的人施加一些惩罚，或鼓励Goating？）

Answer 1

现实世界的主要风险是你的同事“攻击”你。您可以通过设置组策略以在 X 分钟后运行屏幕保护程序来强制执行此操作，这也可以锁定计算机。

Answer 2

对我来说，这已经成为习惯。在 Windows 机器上，按下Windows-L是锁定机器的快速方法。

解决方案可能是社会性的而不是技术性的。说服人们他们不希望其他人在他们离开时阅读他们的电子邮件或欺骗他们的帐户。

Answer 3

在我的组织（政府）中，是的。我们处理敏感数据（医疗和 SSN）。这对我来说是本能的：每次我走开时 Windows+L。

该政策既是社会性的，也是技术性的。在社交方面，我们被提醒个人安全很重要，每个人都知道我们所掌握的数据。在技​​术方面，工作站使用组策略在 2 分钟后打开屏幕保护程序，并打开“恢复时，密码保护”（并且无法关闭）。

Answer 4

不，但我是 1 的组织 - 我上次在大型组织工作时，我们不是被要求的，但被鼓励这样做。如果我在与其他人在一起的环境中，我现在可能会在离开工作站时将其锁定。虽然具有物理访问权限的人当然可以添加硬件键盘记录器，但锁定它确实增加了额外的安全级别。根据您所在的组织类型，我认为风险更多来自内部组织窥探，而不是网络攻击。

Answer 5

我曾经在一家非常大的公司工作，那里的工作站需要将您的徽章插入其中才能工作。如果没有徽章，您就不能在建筑物中移动（无论如何您都需要徽章才能开门）。从工作站的智能卡读卡器中取出徽章会自动将您注销。

离题但更简洁的是，工作站更像是“网络工作站”（请注意，使用我刚刚描述的系统不是必需的），并且徽章举行了您的会议。将它放到另一栋大楼的另一个工作站中，这就是您在另一台计算机上拉徽章时离开时的会话。

所以他们基本上通过强制人们注销他们的工作站来解决这个问题，我认为这是执行任何类型的安全关键策略的最佳方式。人们忘记了，这是人的本性。

Answer 6

我见过的唯一真正重要的是政府、国防和医疗设施。执行它的最佳方法是通过 Windows 上的用户策略和 Unix 系统上的“点文件”，其中在您登录时为您预先选择了屏幕保护程序和超时，并且不允许您更改它们。

Answer 7

我从不锁定我的工作站。

当我的同事和朋友嘲笑我并试图从我的机器上发送令人尴尬的电子邮件时，我嘲笑他认为当我可以物理访问他的机器时锁定会做任何事情，我将他链接到这个网址：

http://www.google.com/search?hl=en&q=USB+keylogger

我不使用我的同事尚未平等访问的任何敏感数据，但我怀疑工作站锁定对坚定的窥探同事的有效性。

编辑：我不锁定的原因是因为我曾经这样做过，但它一直在 Windows 中造成奇怪的不稳定性。我只在需要时重新启动，所以我希望我的机器可以运行几个月而不会变得不稳定并且锁定会妨碍我。

Answer 8

Goating 可以让你被解雇，所以我不推荐它。但是，如果您工作的地方不是这种情况，它可能是有效的，即使它只是一封广泛的电子邮件，上面写着“从现在开始我将永远锁定我的工作站”。

至少，机器应该在 X 分钟不活动后锁定自己，这应该通过组策略设置。

安全是关于提高标准，为完成坏事付出更多的努力。完全不锁定您的工作站会降低该标准。

Answer 9

我们结合社交和技术方法来鼓励 IT 人员锁定他们的 PC：默认屏幕保护程序/锁定设置以及山羊威胁。（我工作的最后一个地方实际上锁定了屏幕保护程序设置。）

要记住的一件事是，如果您有跟踪活动、更改或两者的应用程序（特别是如果它们是 SSO），那么如果您不能确定记录在数据中的用户是实际进行这些更改的用户。

即使在像我们这样的公司，大多数用户都无法获得很多与公司相关的敏感信息，但人们肯定有可能通过未锁定的工作站从其他员工那里获取 NBR 数据。有多少人在他们的计算机上保存网站的密码？亚马逊？梦幻足球？（一种危险的招人技巧：从其他人的名单中删除一名关键球员。只有当你和你在一起时，这真的很有趣，所以球员可以恢复......）

要考虑的另一件事是，您无法确定建筑物中的每个人都属于那里。如果你真的在大楼里，入侵网络要容易得多：当然，大楼里的绝大多数人都在那里，因为他们是被允许的，但你真的不想成为受害公司百万分之一的人确实进入了大楼。（甚至不必是故意的坏人：可能是某人的孩子、朋友、亲戚……）当然，让那个人进来的员工也可以让那个人使用他们的电脑，但那种攻击更难阻止。

Answer 10

每次去喝咖啡时锁定工作站意味着您每天输入密码 10 次而不是一次。您周围的每个人都可以看到您输入的内容。一旦他们拥有该密码，他们就可以从远程计算机上冒充您，这比在办公室使用您的 PC 并且每个人都在观看要难得多。所以锁定你的工作站肯定会带来更多的安全风险吗？

Answer 11

我正在运行 Pageant 并将我的 SSH 公钥分布在此处的所有服务器上。无论谁坐在我的工作站上，基本上都可以用我的密钥登录到任何地方的任何帐户。

因此，我总是锁定我的机器，即使是 30 秒的休息时间。（Windows-L 基本上是我所知道的唯一基于 Windows 键的快捷方式。）

Answer 12

我个人认为风险很低，但根据我的经验，大多数时候这不是意见问题——这通常是大型企业或政府客户的要求，他们实际上会进来审核你的安全性。在这种情况下，某种技术（组策略）解决方案将是最好的，因为您实际上可以证明您符合要求。如果有法律隐私要求（如医疗数据和 HIPAA），我也会这样做。

Answer 13

我在一个地方工作，那里为我们提供一些设备的人来自一家与我们直接竞争的公司。当设备需要维护时，他们就在大楼里。不时会发出一封电子邮件，说他们会在那里，请在您不在时锁定您的机器。如果竞争对手因为开发人员忘记锁定他们的机器而获得了我们的资源，那么开发人员就会寻找新工作。

Answer 14

我们被要求在工作中，我们自己强制执行。开始群聊，表达对人的爱，发送电子邮件，改变背景等。一定要喜欢新员工的第一天，每个人都一定会留下一个很好的便条:)

Answer 15

我以前工作的地方有一个总是锁定你的工作站的政策。他们通过设置公司范围的邮件列表来强制执行——如果您的工作站未锁定，您的同事会从您的帐户向该列表发送一封令人尴尬的邮件，然后锁定您的机器。这有点有趣，也有点烦人，但它通常是有效的。

Answer 16

您可以在他们离开后立即开始坐在人们的工作站并加载[在此处插入任何不好的东西]。我敢肯定，这会奏效。

Answer 17

在我访问过的一些/大多数政府办公室中，有可能让公众四处走动，他们的智能卡可以插入 PC 上的 USB 读卡器。该卡位于用户脖子上的项链上，当它被移除时会锁定工作站。

Answer 18

如果您的计算机未锁定，我公司的所有者（和开发人员）将对您的代码窗口进行微小的更改，这让您疯狂地想知道为什么您的代码在您找到它之前不起作用。

不得不说，在听到那个恶作剧后，我从来没有让我的电脑解锁，我对我的一些代码已经够疯狂了。

Answer 19

您可以设置一个简单的万无一失的方法，将指纹读取器插入为您的密码编程的计算机，然后将这条项链与 USB 接收器一起佩戴，如果您离开工作站，屏幕保护程序会主动锁定它，然后当您出现在范围内，将手指从指纹读取器上滑开以解锁工作站 - 我认为这是一种非常便宜的方式，简单、无干扰、无杂乱，不要忘记通过“WinKey+L”锁定

希望这会有所帮助，最好的问候，汤姆。

Answer 20

这是重要的还是一个好习惯？锁定您的计算机在您自己的房子里可能并不重要，但如果您在客户的办公室并走开，那么我会说这很重要。

至于如何执行...

在阅读了 Jeff 关于不要忘记锁定您的计算机的博客文章后；我喜欢将同事的桌面背景更改为...

1,238 像素 × 929 像素

不用说，同事们开始锁定他们的电脑。

Answer 21

GateKeeper 是一个简单的解决方案。它会在用户离开时自动锁定工作站，并在用户回到计算机范围内时自动解锁。它还可能需要双重身份验证和其他锁定/解锁方法。