Question:
Forcer l'utilisateur à retirer le jeton USB
IamNaN
2019-03-12 11:59:53 UTC
view on stackexchange narkive permalink

Je cherche à configurer des ordinateurs portables sécurisés à l'aide de BitLocker avec un code PIN de pré-démarrage et une clé de démarrage.

Je me demande s'il existe un moyen de forcer l'utilisateur, qui est distant, à supprimer USB avec la clé de démarrage avant de pouvoir se connecter ou utiliser Windows. Sinon, qu'est-ce qui empêche l'utilisateur de laisser simplement l'USB connecté tout le temps, ce qui annulerait pratiquement sa valeur?

Une façon, bien sûr, est de rendre impossible pour l'utilisateur de laisser l'USB connecté, comme en l'attachant en permanence à un gros objet. Mais c'est aussi généralement peu pratique et pas une bonne solution.

Existe-t-il une solution ou une approche standard pour cela qui peut réellement forcer la suppression de l'appareil?

Vous pouvez indiquer dans votre politique de bureau propre qu'aucun jeton USB ne peut être laissé branché après le démarrage et retirer chaque jeton que vous trouvez lors de vos promenades d'audit * inopinées et spontanées * - A fonctionné comme un charme pour les cartes à puce (sans surveillance) de mon ancienentreprise :)
Malheureusement, même lorsque les ordinateurs en font une exigence, de nombreux paresseux débrancheront partiellement le jeton juste assez pour rompre la connexion électrique, mais pas assez pour le retirer et le mettre dans un endroit sûr.
Certes, seule une formation appropriée des utilisateurs peut faire la différence.
Je suis d'accord que certains utilisateurs feront certainement la chose paresseuse de le débrancher juste assez mais de le laisser dans le port.Cependant, même si la moitié des utilisateurs font cela et que l'autre moitié salue et débranche comme ils sont censés le faire, je pense que c'est beaucoup mieux que personne ne le fasse.L'éducation des utilisateurs a un effet similaire - certains appliqueront ce qu'ils ont appris et d'autres ne le feront jamais ou seulement pendant un moment, puis reprendront la voie paresseuse ...
Quel est le comportement souhaité ici?Vous voulez qu'ils le suppriment et en fassent quoi?Gardez-le dans le sac pour ordinateur portable?Le garder dans une poche?Le garder dans un tiroir verrouillé?Le joindre à un autre appareil qui énumère les clés qui ont été retournées?Si vous êtes clair sur ce point, vous trouverez peut-être des options plus utiles.
@schroeder - Mon scénario est celui des utilisateurs mobiles qui ne sont pas sur place, avec des ordinateurs portables contenant des données confidentielles qui doivent être protégées.Ainsi, une fois l'appareil retiré, ils doivent le garder sur leur personne - porte-clés, portefeuille, etc. La configuration sera accompagnée d'une politique indiquant quoi faire avec l'appareil et comment le gérer et pourquoi il est important de le faireJe ne veux tout simplement pas en parler uniquement.
Vous pouvez recommander ou exiger que la clé soit attachée à leurs cordons (qu'ils doivent porter).Difficile de le laisser branché quand il est attaché à votre cou;)
Longes @Baldrickk quand elles ne sont pas sur site?
@IamNaN donc votre problème réel n'est pas qu'il est branché, c'est que l'USB n'est pas dans un endroit approuvé (garder dans le sac de l'ordinateur portable est également un problème).Éjecter l'appareil n'est pas vraiment votre problème.
@IamNaN Si une partie de votre préoccupation est de laisser l'appareil partiellement branché, alors ce n'est pas du tout un problème technique mais un problème de comportement.Si vous êtes prêt à abandonner votre préoccupation concernant les clés USB à moitié branchées, des options techniques s'ouvrent.
Qu'est-ce que le token USB - Yubikey?
@IamNaN Quel vecteur d'attaque la broche / clé de pré-démarrage empêche-t-elle de ne pas être contournée en prenant simplement toute la machine?
@MooseBoys [Mémoire rémanence] (https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures#attack-countermeasures) (attaques de démarrage à froid)
@schroeder à la maison?pas de problème - sur un site client?avoir votre pièce d'identité ne peut pas faire de mal.Au pub en wifi public?peut-être pas, nous erm.n'encorez pas cela à mon travail, mais si je l'ai fait, je l'aurais probablement dans ma poche plutôt que dessus.Une alternative pourrait être attachée à vos clés.
Je garde ma YubiKey sur une lanière en la fixant au portefeuille avec les cartes-clés nécessaires pour rentrer dans mon bureau après s'être éloigné - vous enfermer plusieurs fois hors du bâtiment et on prend l'habitude de toujours l'attraper en s'éloignant.Si vous contrôlez la sécurité des installations, je pourrais voir un couplage comparable (distribution de jetons de bâtiment et d'hôte ensemble) utilisé comme mesure d'application de la politique.
@IamNaN s'il existe de toute façon une politique d'entreprise comme celle-là, mettez simplement l'exigence de détacher l'appareil dans cette même politique d'entreprise.Et assurez-vous que tout cela a du sens, exiger des choses non sensées dans une partie d'une politique est un moyen sûr de faire en sorte que les gens ignorent également les éléments sensibles.Par exemple.notre société ne permet pas de laisser des documents sur les bureaux, mais ne fournit pas d'armoires verrouillées pour les stocker et de nombreuses pièces n'ont pas d'armoires du tout, donc les gens les mettent simplement dans un sac en plastique.À peine sécurisé mais respecte la politique ...
Huit réponses:
Serge Ballesta
2019-03-12 16:32:45 UTC
view on stackexchange narkive permalink

Vous essayez d'utiliser un outil technique pour résoudre un problème social. La réponse est que cela ne peut pas convenir.

Les techniques peuvent offrir une grande sécurité lorsqu'elles sont correctement utilisées, mais seule l'éducation des utilisateurs peut permettre une utilisation correcte. J'aime souvent la question qui est responsable de quoi . Cela signifie que les utilisateurs doivent savoir qu'ils seront responsables de tout ce qui pourrait être fait avec leurs informations d'identification. Il ne suffit pas de prouver qu'ils ne l'ont pas fait, ils doivent prouver qu'ils ont correctement protégé leurs informations d'identification.

L'analogie physique peut également aider. Ils ne laisseraient pas la clé d'un coffre-fort physique sans surveillance. Ils doivent comprendre que lorsqu'ils reçoivent des informations d'identification raisonnablement sécurisées, ils doivent la considérer comme une clé physique et l'utiliser de la même manière. Mais comme ils sont habitués à leur propre ordinateur personnel sans aucune sécurité, l'éducation est difficile et les choses doivent se répéter. Malheureusement, je n'ai jamais trouvé de meilleur moyen ...

Merci et je suis d'accord avec le fait que l'éducation est importante, essentielle et l'aspect le plus important.Cependant, je pense également qu'un facteur supplémentaire pour imposer ce comportement, si possible, est approprié.Si un ordinateur portable contenant des données confidentielles se retrouve entre de mauvaises mains, mon plus gros problème est que les données sont maintenant entre de mauvaises mains, et non pas la faute de celles-ci.Donc, si en plus de l'éducation, je peux ajouter un autre facteur pour réduire ce risque, je veux le mettre en œuvre.Ce n'est pas censé être la solution ultime et unique.
Je ne pense pas que ce soit un problème social.Les jetons FIDO ont résolu ce problème techniquement en ayant un bouton poussoir "présence utilisateur".Vous pouvez laisser le token FIDO branché en permanence, et certains sont [conçus exactement pour cela] (https://www.yubico.com/product/yubikey-5-nano/).C'est bon comme débranché jusqu'à ce que quelqu'un appuie sur le bouton.Le problème est que Bitlocker utilise un périphérique de stockage de masse pour l'authentification, quelque chose au-delà de sa conception d'origine.
C'est la même raison que les schémas de mots de passe compliqués ne peuvent pas vous empêcher d'enregistrer un post-it sur votre moniteur.
@corsiKa, en fait, ils l'encouragent.
@IamNaN tant que le jeton et l'ordinateur portable sont en possession de la même personne à tout moment, il y a un risque que les deux tombent entre de mauvaises mains en même temps.Pour éviter que le jeton et l'ordinateur portable ne soient tous deux compromis ensemble, le seul moyen est que le jeton déverrouille chaque ordinateur portable pour qu'il ne soit jamais entre les mains de la personne qui l'utilise, ce qui est clairement impossible.
schroeder
2019-03-12 19:47:29 UTC
view on stackexchange narkive permalink

Il me semble qu'un script de démarrage pourrait vérifier les USB montés et bloquer le wifi / réseau s'il y a un USB monté tout en affichant un message.

Une simple fonction d'interrogation pourrait vérifier si de nouvelles clés USB sont connectées.

Tout cela est possible dans Powershell.

Cela résoudrait le problème du montage des clés USB et forcerait l'utilisateur à s'éjecter avant d'utiliser l'ordinateur portable. Cela ne résout pas le problème de ce que l'utilisateur fait avec l'USB par la suite. J'imagine facilement que les utilisateurs se débranchent pour commencer à utiliser l'ordinateur portable, puis rebranchent l'USB "pour le ranger" une fois qu'ils ont fermé le couvercle.

Je vous remercie.Vous avez certainement un point là-bas!En tenant également compte de votre commentaire "l'emplacement de la clé USB est le problème".Compte tenu de toutes les réponses et des commentaires reçus jusqu'à présent, il semble peu judicieux de poursuivre cela comme une mesure de sécurité supplémentaire et il semble préférable de se concentrer sur l'établissement d'une politique appropriée d'utilisation et de comportement, ainsi que sur la formation et l'éducation.
@IamNaN Je suis d'accord avec votre évaluation.La technologie * prend en charge * les comportements sécurisés, mais elle n'est pas efficace pour imposer des comportements sécurisés.La formation, les explications et les invites claires seront meilleures.Utilisez une fenêtre contextuelle de démarrage pour rappeler aux utilisateurs de mettre la clé USB dans leurs poches (pas avec l'ordinateur portable).
Utilisez ce graphique pour déterminer sur quoi vous devez concentrer vos efforts de changement de comportement: https://www.behaviormodel.org/
`schtasks` a` ONSTART` pour exécuter le script au démarrage.Pourrait utiliser `ONLOGON` pour exécuter le script et inviter l'utilisateur.Ensuite, connectez le script à EventId lorsqu'un usb est connecté et vérifiez s'il s'agit de l'usb bitlocker.
A. Hersean
2019-03-12 17:49:37 UTC
view on stackexchange narkive permalink

Ce n'est peut-être pas la meilleure façon de le faire, et je ne peux pas dire que je l'approuve, mais je l'ai vu utilisé dans la pratique:

Vous pourriez avoir des gardes de sécurité patrouiller la nuit, Clé ou jeton USB connecté à un ordinateur avec eux et remplissant un incident de sécurité. Si le lendemain, les utilisateurs vont chercher leurs trucs USB, ils reçoivent une réprimande officielle en personne. S'ils ne le font pas, ils reçoivent une réprimande plus sévère parce qu'ils n'ont pas remarqué ou signalé leur chose manquante. Faites en sorte que les réprimandes reflètent mal leur chèque de paie, ou renvoyez les employés avec trop de réprimandes.

Si elle est appliquée, vous pouvez être sûr que cette politique sera très impopulaire, mais efficace.

Modifier: Vous avez ajouté dans un commentaire que votre scénario est destiné utilisateurs mobiles qui ne sont pas sur site. J'ai bien peur que ma proposition ne puisse pas être appliquée dans ce cas. Je vais quand même laisser peut répondre car cela pourrait encore être utile pour les autres qui essaient d'appliquer des politiques de sécurité dans leurs locaux.

Cela devrait en effet être le dernier recours.
Dans la société précédente sur laquelle je travaillais, après quelques vols, les ordinateurs portables ont dû être verrouillés sur leur tablette.La nuit, les agents de sécurité récupéraient n'importe quel ordinateur portable déverrouillé, ou n'importe quel ordinateur portable avec la clé sur la serrure, et vous deviez aller le chercher au poste de sécurité.Les gens ont grogné, mais après un mois ou deux, il était assez rare de voir quelqu'un oublier de verrouiller son ordinateur portable.
«Faire que les réprimandes reflètent mal leur chèque de paie» est illégal dans la plupart des cultures que je connais.
@Flater Cela dépend de la façon dont c'est fait.Il peut s'agir d'un bonus réduit ou d'une augmentation de salaire annuelle réduite.Très probablement, les risques associés aux incidents de sécurité devront être inscrits dans le contrat, mais je ne suis pas avocat.Je sais simplement que ces sanctions peuvent être appliquées légalement au moins dans un pays, car je suis sûr qu'une énorme équipe d'avocats a examiné la politique que j'ai vue.Une NDA m'empêche d'en divulguer davantage.
Il peut être adouci si la clé du primo-délinquant n'est pas retirée, mais qu'une note papier y est attachée.Deuxième fois = clé USB retirée + réprimande orale (non officielle);troisième fois = réprimande officielle (mais pas de diminution de salaire), puis une diminution de salaire nominale (par exemple 1 $) et ainsi de suite.
@Flater Dépend de la manière dont il est proposé / mis en œuvre.Imaginez un bonus variable dans le chèque de paie, lorsque la politique n'est pas suivie, le bonus diminue.Cela conviendrait à la plupart des lois des pays car ce ne serait pas une pénalité mais "un bonus variable"
Stilez
2019-03-13 00:26:49 UTC
view on stackexchange narkive permalink

Je ne suis pas si technique, mais cela semble possible:

La clé USB doit faire certaines choses, comme répondre à l'énumération, ou aux requêtes via l'API pour valider la clé. La première question est donc de savoir si ceux-ci peuvent être utilisés. Vous devrez peut-être consulter la documentation technique pour cette possibilité:

  • Si les appareils appartiennent à l'entreprise mais sont mobiles , vous pouvez installer un script qui teste cela, et si un appareil reste énuméré ou réactif pendant plus de 2 minutes après l'acceptation de la validation initiale, la validation / l'accès est interrompu. Cela devrait permettre aux utilisateurs de développer automatiquement l'habitude de retirer leurs clés - l'appareil ne les laissera tout simplement pas fonctionner s'ils ne le font pas.

  • Si certains appareils sont BYO (apportez le vôtre) alors c'est plus difficile. Peut-être que la méthode d'accès ou la clé elle-même permet une sorte de validation continue, qui pourrait être réutilisée (s'il y a un accès continu au-delà de quelques minutes, terminer). Si nécessaire, achetez un type de clé qui le permet.

  • Si une vérification côté serveur ou unilatéralement n'est pas possible, vous ne pouvez donc pas faire quelque chose côté serveur pour vérifier l'état de la clé USB , alors vous êtes obligé de vous rabattre sur le logiciel / script côté client. Si une personne souhaite apporter son propre appareil, il existe souvent des politiques à ce sujet, et parfois et dans certaines entreprises, l'utilisateur doit exécuter ou installer un script / logiciel / VPN / cert / quoi que ce soit fourni par l'entreprise s'il souhaite utiliser leur propre appareil sur le réseau de l'entreprise, c'est peut-être une option acceptable.

Graham
2019-03-13 13:07:03 UTC
view on stackexchange narkive permalink

Pourquoi pensez-vous que ce jeton USB à lui seul sécurise l'ordinateur portable?

Il s'agit d'une situation d'autorisation à deux facteurs. Pour ceux qui n'ont jamais rencontré le concept auparavant, le 2FA est décrit comme "quelque chose que vous savez et quelque chose que vous avez". Le dongle USB est le «quelque chose que vous avez», mais l'ordinateur portable est toujours protégé par le «quelque chose que vous savez», c'est-à-dire un mot de passe. 2FA est destiné à ajouter une couche qui permet à un facteur d'être redondant, de sorte qu'il ne rend pas le système non sécurisé si l'attaquant obtient le jeton de sécurité, tant que l'utilisateur n'a pas également écrit le mot de passe. Bien sûr, il vaut mieux qu'ils ne cassent pas un bras de la sécurité, mais l'ordinateur portable devrait toujours être sécurisé s'ils le font.

Forcer l'utilisateur à retirer la clé, cela pose également un problème majeur. La sécurisation de l'ordinateur portable est une réflexion après coup, pour protéger tous les fichiers locaux que l'utilisateur pourrait avoir traîner, ce qui est un petit sous-ensemble des données de votre entreprise. La partie extrêmement importante est de sécuriser l'accès de l'utilisateur à votre réseau. Les réseaux, en particulier les VPN, ne sont aussi bons que leur sécurité de connexion. Donc, si vous êtes préoccupé par la sécurité, votre VPN doit vérifier que le jeton Bitlocker est présent lorsque l'utilisateur se connecte au VPN et qu'il ne quitte jamais la machine pendant cette session de connexion fort>. Sinon, l'utilisateur aurait pu se laisser accidentellement connecté en fermant le couvercle et en pensant que l'ordinateur était éteint, ou dans divers scénarios similaires. Vous ne pouvez pas supposer "ils se sont connectés correctement à un moment donné dans le passé, donc ils utilisent toujours la machine".

En bref, je pense que vous surpensez un domaine sans tenir compte de la manière dont il contribue à la sécurité des données de l'entreprise.

La réponse la plus simple pour les dongles USB est bien sûr d'insister pour qu'ils vivent sur le trousseau de clés de l'utilisateur avec leurs clés de maison ou de voiture. Plus d'un porte-clés? Pas de problème - ils peuvent avoir autant de clés dont ils ont besoin. Mais cela garantit que le dongle est toujours retiré de l'ordinateur portable lorsque l'utilisateur le quitte, car il a besoin du porte-clés pour rentrer chez lui.

Merci, mais je n'ai jamais dit que c'était la seule mesure de sécurité et ce n'est certainement pas le cas.J'explorais simplement la possibilité d'ajouter une autre couche de sécurité pour l'authentification pré-démarrage.Si c'était la seule mesure pour sécuriser les ordinateurs portables, je serais entièrement d'accord avec ce que vous dites ici.
@graham Je pense que vous manquez le point de savoir quels contrôles sont impliqués et ce qu'ils protègent.Le contrôle en question est le chiffrement des points de terminaison.Cela n'a rien à voir avec les contrôles de compte ou de réseau.
crasic
2019-03-15 11:42:03 UTC
view on stackexchange narkive permalink

Je viens du monde de la technologie manufacturière et l'utilisation de petits gabarits pour appliquer un certain comportement manuel à la fois pour la qualité et la sécurité est une méthode standard acceptée. Je ne suis pas d'accord avec la perspective selon laquelle on ne peut pas concevoir le comportement humain en plaçant certains obstacles, cela est fait pour la sécurité humaine et est pris aussi au sérieux que la sécurité du réseau. Une approche courante consiste à utiliser un Poka-yoke, mais on voit également des verrouillages et un interrupteur d'homme mort lorsque des vies sont en jeu.

Le défi est de savoir comment adapter ces concepts à la sécurité. Bien que je convienne qu'il serait difficile de coder pour vous en sortir de manière fiable, si vous élargissez votre perspective pour inclure le développement de matériel, c'est certainement réalisable.

Si c'est important pour vous ou votre employeur, un dongle personnalisé peut être conçu pour forcer ce comportement, le spit-balling une approche serait une coupure chronométrée où le dongle se désactive après un certain temps sous tension. Nécessitant un re-branchement.

Si vous avez un certain contrôle sur les utilisateurs et la politique des ordinateurs portables, mais que vous ne souhaitez pas jouer à la police, un certain nombre d'autres obstacles peuvent être utilisés pour encourager le respect de votre politique de sécurité.

Bien sûr, pour un utilisateur entreprenant, cela peut être contourné, donc si vous concevez un produit de sécurité vendu à des clients, ce ne serait pas suffisant.

Mais je crois que l'analogie avec poka -yoke est approprié car contourner le contrôle d'ingénierie par un collègue irait à l'encontre de la politique / procédure et pourrait faire l'objet d'une réprimande ou d'un avertissement.

Bojidar Stanchev
2019-03-15 18:17:30 UTC
view on stackexchange narkive permalink

Vous pouvez rendre l'USB multifonction en empêchant de le laisser sur le PC. Par exemple, ils doivent le brancher sur un autre appareil pour commencer leur journée de travail. Vous pouvez dire que vous voulez savoir quand ils arrivent au travail et que le début de leur journée de travail est marqué par la connexion USB à ce deuxième appareil.

Ce n'est pas applicable à tous les cas, mais je l'écris avec l'espoir que cela pourrait donner une bonne idée à quelqu'un.

jwenting
2019-03-15 12:14:46 UTC
view on stackexchange narkive permalink

OK, maintenant vous vous êtes assuré d'une manière ou d'une autre que le propriétaire de l'ordinateur portable ne laisse pas son jeton branché.

Cependant, ils emportent maintenant cet ordinateur portable et ce jeton avec eux lorsqu'ils rentrent chez eux, et se font agresser par un espion industriel sur le parking. Le résultat est à la fois un jeton et un ordinateur portable sont entre les mains d'une personne non autorisée et pire, la même personne non autorisée.

Le résultat est bien sûr exactement le même que si le jeton était branché sur l'ordinateur portable, car le méchant peut simplement brancher le jeton.

Félicitations, vous venez de déplacer un peu la limite de sécurité sans aucun gain réel.

Ce que vous pourriez faire, c'est en installer logiciel sur les ordinateurs portables qui bloque l'écran ou même les arrête si le jeton est trouvé installé sur l'ordinateur portable après le démarrage du système d'exploitation. Dites quelque chose qui a commencé dans le cadre du démarrage du système d'exploitation et vérifie le jeton toutes les quelques minutes. Cela garantirait que le jeton est supprimé après le démarrage de la machine, mais n'empêcherait pas à la fois le jeton et la machine d'être volés.

Le seul moyen de s'assurer que c'est un principe à 4 yeux, où la machine ne peut pas être démarrée sans la présence d'au moins 2 personnes, une avec le jeton et une autre avec le mot de passe.

Et c'est un problème majeur PITA et, en particulier pour les travailleurs à distance, souvent impossible (car les travailleurs à distance ont tendance à être seuls sur un site).

Cela a déjà été évoqué dans les commentaires sur la question.Tel qu'il est écrit, ce n'est pas une réponse à la question mais une tangente.Votre suggestion de logiciel est déjà couverte par d'autres réponses, et votre suggestion à 4 yeux n'est pas réalisable pour le scénario de la question.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...