Компьютерной безопасности псто

[ny_quant]

Как бывший советскоподданный, я питаю особо нежные чувства ко всевозможным вертухаям. Среди них компьютерные вертухаи занимают особое место в моей душе. Нет, не совсем так. Как и другие группы населения, они тоже бывают в хорошем смысле и в плохом. Я не отрицаю их полезность или необходимость, но ведь любую работу можно делать по-разному, не так ли? Например, мы пару лет назад говорили и дебильном требовании менять пароли каждые 3 месяца, которое, разумеется, никуда не делось хотя я и объяснил публично глав. вертухаю к чему это приводит. Кстати, то же требование распространяется и на voicemail, что ещё смешнее.

Как бывший советскоподданный, я предпочитаю иметь вещи про запас, а то мало ли что. Например корпоративный лэптоп, которым я больше не пользуюсь, т.к. у нас теперь есть портал, через который можно гораздо удобнее (в моих домашних обстоятельствах) заходить с десктопа. Зачем мне лэптоп? А вот мало ли мне срочно понадобится что-то сделать пока я в отпуске или командировке. Или накроется медным тазом этот портал. Запас кармана не протрёт и кушать он не просит, да?

Что плохо в лэптопах это то что-то страшные хакеры всё время стараются через них что-то украсть. По крайней мере так думают корпоративные вертухаи. Поэтому, с лэптопа полагается залогиниваться не реже чем раз в месяц чтобы тебе установили нужные обновления. Ну, это нормально. (В отличие, скажем, от дверей в офисе, которые тебя больше не пропускают, если тебя там уже месяц не было.) Я себе поставил напоминальник в календарь и всего-то делов. Усилий на 1 минуту в месяц.

И вот новая радость. Теперь обновления больше нельзя загружать из дома. Видимо, vpn в современных условиях недостаточно безопасна для такой критической задачи. В остальное время работать с доступом ко всей корпоративной сетичерез тот же vpn это ОК. Но ставить обновления - ни в коем случае! Для этого нужно принести девайс в офис, подключиться к сети там и, внимание (!), оставить включенным на 24 (!!!) часа. Другого пути нет. Уважаемая редакция ...

Comments

[nlothik.livejournal.com]

Гм. А обновления точно сгружались через VPN? В зависимости от софта управления обновлениями, оно могло только сказать "ставь то-то и то-то, а бери где хошь".

Правда, не совсем ясно, а чего они таким образом добились.

Кто-то перемудрил, КМК.

[ny-quant.livejournal.com]

// А обновления точно сгружались через VPN?

Да, точно. Никакого другого соединения у лэптопа нет, кроме как задней двери для обновления сгнившего сертификата.

// В зависимости от софта управления обновлениями, оно могло только сказать "ставь то-то и то-то, а бери где хошь".

Имхо, оно могло бы сказать пойди туда-то в корп сети и возьми всё, что треба. Вместо этого, раньше было - жми кнопку (это чтоб ты мог сначала спасти свою работу) и мы тебе всё поставим автоматически.

А теперь вот это вот.

[nlothik.livejournal.com]

> Да, точно. Никакого другого соединения у лэптопа нет, кроме как задней двери для обновления сгнившего сертификата.

Как это нет. У него есть соединение с интернет, через который затем устанавливается VPN.

Обновления при этом совершенно необязательно ставились из корпоративной сети.

Другой вопрос, что это можно было бы легко прикрыть, заставив лаптоп посылать ВЕСЬ трафик через VPN соединение, а не только тот, что относился к корпоративной сети.

Но, у кого-то, видимо, не хватило квалификации.

[ny-quant.livejournal.com]

Я имел в виду, что все доступные простым смертным способы соединения с интернетом в обход VPN заблокированы. Блокировать - это единственное что вертухаи умеют делать хорошо.

[ny-quant.livejournal.com]

И я, кстати, не думаю, что перемудрил. Это люди так демонстрируют начальству свою мудрость и незаменимость. Совок он везде совок.

[brmail]

ну запри его в кубике в ящике, пусть на работе живет, перед отпуском утаскивай домой

[ny-quant.livejournal.com]

Да, это в принципе возможно. Надо только заказать ключи от ящика. Не факт, что сделают (на другом этаже уже один раз не смогли), но попробовать можно.

[eugene naumovich (from livejournal.com)]

По поводу лаптопа- бывают корпоративные сервера обновлений. Я под таким сидел, где-то два года потребовалось, что бы уговорить не ставить обновления в безакцептном порядке, а хоть как-то их планировать.

[alexanderr.livejournal.com]

когда я работал в одной очень большой международной корпорации, они нам объясняли про 90 дней и пароли очень просто: этого требует закон Италии. ну и что, что вы в НЙ. мы же не будем делать разные правила в разных странах. просто берем все страны в мире вообще и находим, кто из них требует менять пароли чаще всех. ага, и voicemail тоже. там причем пароль был 10 значный

[1master.livejournal.com]

Все пункты кроме последнего параграфа это типичнейший и стандартнейший комплаенс. Который, к сожалению, пишут люди, застрявшие в лучшем случае где-то до 2010. Но если конторе нужен какой-нибудь SOC или там ISO, то увы и ах, придется соответствовать. Молитесь, чтобы у вас еще чего покруче не завелось.
Но последнее, это конечно, запредельное жлобство. Небось с них стребовали, чтобы юзеры подтверждали свое физическое наличие и вместо того, чтобы смаркарты или еще какой юбикей сделать, они тупо отрезали апдейты от всего удаленного.
Впрочем, есть и альтернативный вариант, что сетевые люди не осилили прокинуть ниточку от VPN'ов до SCCM, в этом случае безопасники могут быть вообще не при делах, ибо ведают только пуговицами требованием ставить апдейты.

[oldkettle.livejournal.com]

Ощущение такое, что слово compliance волшебное: стоит его произнести, и ставить под вопрос никакой идиотизм уже нельзя. На всякий случай, это не к Вам претензия, конечно. Просто под этим знаменем столько бреда творится, что не знаешь, куда бежать.

[1master.livejournal.com]

Нет конечно. Впрочем, ничего такого там не творится, конечно, просто набор заклинаний для дутья на воду, временами разумных, временами мудацких. Проблема в том, что сертификацию то выдают только за все сразу и аргументировать не с кем: те люди, что сертифицируют, никогда не видели тех, кто пишет требования.

[oldkettle.livejournal.com]

... и ни те, ни другие не видели тех, кто работу работает? :-)

Business approval email must have the line "no issues identified" . Потому что.

[sydorov47.livejournal.com]

Я бы мог разьяснить, чем вызваны такие действия.
Но не буду. Удачи вам.

[ny-quant.livejournal.com]

А чего тут особенно объяснять? Косорукие придурки хотят протолкнуть какую-то очередную приблуду, но не умеют это делать иначе как с помощью особого скрипта, который такой медленный, что они не могут обещать, что он обойдет локальную сеть больше чем раз за сутки. Причём он такой особый-особый, что через удалённый VPN он не закончится вообще никогда (вернее, они этого боятся, но никто не пробовал), поэтому этого они не разрешают. А блокировку может снять только руками только специальный гауляйтер даже если весь софт уже установлен.

Как мне сказали в службе поддержки, это у них очередная кампания, как я и предполагал. Результат вполне предсказуемый: полный завал в виде сотен тикетов, которые они не успевают обслужить. Но гестаповцам это совершенно безразлично.

[scaredy-cat-333.livejournal.com]

А расскажите.

[Тестов Тестов (from livejournal.com)]

Очень подробненько. Кстати, а вы разве не давали подписку (вертухаям, в частности), что не будете разглашать направо и налево – как работают корпоративные системы и прочие правила внутреннего распорядка?

[ny-quant.livejournal.com]

Нет, не давал.