Здравствуйте.
Ситуация: за последний месяц через 20 ноутбуков прошло более 80 сотрудников (большая текучка, тв-проект). И на днях украли 2 штуки, выяснилось это случайно.
Есть ли какие-то технологические методы защиты от кражи? (юридические бумаги при приеме и учет не предлагать, этот пробел понятное дело сейчас закроем). Возможно есть какие-то решения? Внутри здания 3 вайфай точки, быть может существует технология, при которой, например, когда машина "уходит" из зоны сети, то администратору прилетает смс-ка с именем компьютера. Или еще что.
Заранее спасибо.
если вы выдаете ноутбуки сотрудникам, чтобы они уходили из офиса с ними то реализовывать какие-то технические средства будет бесполезно - помогут исключительно те самые юридические бумаги.
Ну и не давать ноуты\(kensington lock, если у вас закупаются исключительно они) тем, кто работает чисто в офисе.
А как относительно простое техническое решение (чисто предупреждение проблем) - организуйте мониторинг доступности всех ноутбуков в сети.
Кто не выходил на связь более 10(с прошлого вечера до сегодняшнего утра или командировка в течение одного рабочего дня) часов - объявляется в розыск(если не написана соответствующая бумажка или извещение о командировке\отпуске\болезни\удаленной работе и т.п.)
мониторинг доступности всех ноутбуков в сети не решит проблему.. закрыли крышку - ушел в слип, или просто выключили/отправили в ребут - вот источник спама в алармы...
arjeanzz: а я и не предлагал отключение ноутбука из сети считать источником проблемы.
Повод для беспокойства : отсутствие ноутбука в сети более 10 часов в рабочий день.
не доводилось сталкиваться с такими наклейками, кроме как в магазинах, но... а если внутрь, да еще так, чтобы без серьезной разборки ноута было не отклеить (например, в крышку), будет находиться? Если, как написал Роман , можно регистрировать хотя бы когда последний раз ноут проходил через рамки, а доступ в здание при этом осуществляется по картам доступа... в общем, при наличии толковых программистов можно заколхозить привязку одного к другому по времени с некоторым зазором и занесением этого всего в бд и простеньким интерфейсом для поиска.
В подобном случае сотрудников лучше не информировать об этой хитрой системе, а рамки должны работать без оповещения (в случае, если сотрудникам разрешено выносить ноуты).
И если ноуты выносить разрешено, подписание бумажек "ответственности" и отдельный журнал на КПП, как предлагалось ниже.
Стандартный "магазинный" метод с RFID - метками и воротами на всех выходах.
Но что помешает сотруднику передать ноут через окно, с другой стороны.
Да и превратить предприятие в Алькатрас может быть трудным делом, бюджет которого перекроет утечку двух ноутов в месяц.
Как вариант, можно установить/написать приложение, работающее в скрытом режиме и отсылающее/соединяющееся с сервером по определенному порту в заданные промежутки времени..., а на сервере уже мониторить соединения к этому порту. Если соединение установлено не из офисной сети, то отсылать уведомление...
Правда не спасет, если ноут вынесли выключенным/ включили без интернета / переустановили ОС
Все технические средства будут работать только до момента выключения ноутбука и переформатирования HDD / смены MAC-адресов. Не считайте похитителей дураками.
Если так хотите технические средства, сделайте электронный журнал учета. Сдал/принял, материально ответственное лицо, вот это всё.
P. S. Еще в одной уважаемой организации в политике безопасности (которую подписывает каждый сотрудник при приеме на работу) написан следующий пункт: при работе с ноутбуком вне офиса сотрудник обязан закрепить кенсингтоновский замок к стационарному креплению - не к ножке стола или стула.
АртемЪ: Защита - чтобы не сперли. Оптимальное решение - журнал учета. При приемке ноутбука сотрудник становится материально ответственным лицом. После этого проблема защиты перестает быть проблемой ИТ-отдела и становится проблемой конкретного сотрудника.
Проблема несложная. У меня вот до сих пор ни одного ноутбука не украли за 20 лет, тьфу-тьфу.
У меня был случай на дочернем предприятии (я не владелец, конечно): постоянно тырили инструмент. Некоторый инструмент весьма дорог и более-менее компактен - под одеждой можно вынести. Шмонать всех не особо вариант. RFID думали, но решили не стоит.
Огромный спад статистики пропаж обеспечили заявлениями о краже. Три раза, больше не особо понадобилось.
Технически это решать бесполезно (можно, но дорого выйдет - дороже покупки 20 ноутбуков).
Во всех компаниях давно уже подписывают бумажку про получение рабочей техники и материальную ответственность в случае её порчи-утери. По этой бумажке всё легко удерживается из зарплаты (а если зарплаты не хватает - то через суд).
Единственное что, все эти ноуты должны быть законно инвентаризованы и опечатаны (на случай того, что сопрут только hdd/ram).
Cole: а каждое утро админ будет бегать и вводить 20 паролей, чтобы сотрудники могли начать работать... Или очередь не к кофе+машине, а к админу. Рабочий день будет ничинаться не в 9, а в 11.
Александр Корюкин: невозможность его сменить или удалить потом. Кому нужен ноут с паролем? Пароль не даст запуститься с CD, DVD, USB и переустановить ОС.
Cole: невозможность удалить пароль - это как? Вам уже писали, что любой эникейщик может это сделать, в интернете полно инструкций, открыть ноут и выдернуть батарейку биоса может вообще любой. ОС можно переустановить, не загружаясь с CD.
Сделайте так, чтобы ноуты включались только внутри Wi-Fi сети организации.
Сотрудники поймут, что выносить ноут за пределы помещений - бесполезно.
Т.е. задача превратить в "кирпич" ноут в "чужой" среде.
Ответ из серии: "-Как сделать так, что бы нефть подорожала? -Сделайте так, чтобы нефть больше покупали. Т.е. задача обеспечить рост спроса на нефть". Вам, однако, в правительстве стоит работать.
apreobr: Я как сова из анекдота про мышей, которая посоветовала им стать ёжиками, чтобы их не съели)
Однако, это реально рабочее решение при грамотной настройке.
hoarywolf: загрузка через BOOTP (режим тонкого клиента), порты USB-отключены, конфиг в биосе - запоролен, накопителя в ноуте - нет (или он шифрованный и расшифровывается только сертификатом при загрузке).
Остаётся только полный сброс биоса (вместе со вскрытием всех пломб) и чистый диск.
hoarywolf: вот поэтому и говорю: "Сделайте так, чтобы ноуты включались только внутри Wi-Fi сети организации." Иначе, только видео-наблюдение + видео-трэкинг по помещению организации.
xmoonlight: ок, вот есть некий Петя, желающий украсть ноутбук. Ноутбук включается только внутри вайфай организации, у него отключены порты и тд, все по вашему сценарию. Петя выносит ноутбук, сбрасывает биос и форматирует винт. В результате Петя продает на авито ноутбук и недоумевает чем могли ему помешать ваши рекомендации "Сделайте так, чтобы ноуты включались только внутри Wi-Fi сети организации"
xmoonlight: это все равно скорее административное решение, так же как и физический шмон или аппарат с рентгеном как в аэропорту для проверки сумок и тд. Да и оно лишний раз подтверждает, что защитить ноутбук паролями, шифрованиями и прочими привязками к вайфаю невозможно. Только тросы, замки, шмон или подписывание бумаг о материальной ответственности.
1. Поставить пароль на BIOS
2. Разрешить включение ноута/компа только после авторизации на центральном сервере.
Что уж там у Вас Ldap или AD - и там и там это элементарно делается.
Получается, что включить ноут можно только внутри фирменной сетки.
Для гурманов рекомендую еще и диски зашифровать.
Это возможно? Авторизовываться в AD до возможности сделать Ф8?
В ноутах такая проблема есть - быстрые клавиши. Обычно неотключаемые. Можно кнопкой грузиться с USB, к примеру, и пофиг на пароль в БИОСе.
Но кажется мне, что топикстартеру нужно решение попроще.
Отключите хоть на минуту админское мышление :-) Вору пофиг на шифрованный диск. Вору пофиг на то, что он не грузится. Ему не данные нужны - ему нужно железо. Он вынес ноут за ворота, воткнул USB-привод, перешил биос, переставил ось - и вся хитрая защита пошла лесом.
Это как раз тот случай, когда технические меры бесполезны, ибо защищают данные, а не железяку. Даже если у вас будет ноут с вшитым в биос маячком (китайцы такое делают), но он (ноут) уже за полстраны от вас - поможет? Только административные меры.
Как наиболее эффективное решение с технической точки зрения мне приходит в голову только небольшой GPS трэкер с модемом и питанием (ну или питанием от шины, но готовых решений не нашел), спрятанный в корпусе.
А вообще самый правильный вариант, как и сказали ранее - административные меры. Перемещать на нового сотрудника все оборудование и при увольнении сдавать.
Простой
