Как сделать безопасный ПОЛНЫЙ доступ в Интернет в офисе?

Question

[Дядька Серёжа]

Привет в организации используется следующая схема доступа любого работника в Интернет:

То есть чтобы вирус не попал на ПК, доступа в Интернет на ПК нет, но пользоваться Интернетом пользователь может на ноутбуке, который так же под рукой
Размер организации становится больше, ноутбуки стареют, частенько ломаются, да еще и стоят не дешево.
Целесообразно ли сделать по следующей схеме?:

То есть доступа в Интернет на ПК нет, но если нужен, он запускает ярлычок с RemoteApp на сервере (больше на нем ничего нет), передача файлов между сервером и ПК, а также буфер обмена блокируются. На межсетевом экране у сервера оставляем только 80 443 порты, ну и другие для нормальной работы.

Или есть что-то гораздо проще?

Answer 1

[Клёвый Админ]

Дяд Серёж, ну лучше наверное прав всех лишить, и групповой политикой нормальный браузер развернуть.
И если данные критически важные (медецина, ядерная, банковская сфера), то пускать всех черех кластер их прокси северов с антивирем в перемешку.
Ну ваша идея тоже в принципе годная, но опять же если прям капец капец какие данные у вас там. Оборонная промышленность не иначе.

Comments

[Дядька Серёжа]

Обычный бизнес, никаких персональных данных вне 1С.
1) про лишение каких прав имеете ввиду?
2) нормально развернуть через GPO, так и сделано, у всех IE11, что-то другое имели введу? - дело в том, что Интернета то на ПК нет

[Клёвый Админ]

Дядька Серёжа: раз ничего гипер сложного нет, то вроде бы логичнее, дать доступ в инет только тем кому он нужен (прямо на ПК дать), и дать его через хром\тот же IE последней версии. Права обрезать до пользовательских, никаких расширенных и на всякие лишние папки чтобы тоже прав не было (например на папку с бекапами).

[Армянское Радио]

Евгений Быченко: в медицине, АЭС и прочей паранойе есть прямое требование ФИЗИЧЕСКОГО отделения сетей. То есть, нельзя даже кабель с интернетом втыкать в один коммутатор с защищенным контуром, пусть даже и разделение по VLAN сделано.

[Клёвый Админ]

Армянское Радио: ну как бы потому и уточняю. Но если еще и пруф на требование в меня бросите, вообще респект за вторжение в топиу будет)

[Армянское Радио]

Евгений Быченко: Нужно либо релизовать пункт 4.4, либо не соединять. garantsoft.com/content/articles/index.php?article=5833

[Евгений Хлебников]

SyavaSyava: ну вот опять, надо поставить лайк комменту а нельзя

[Дядька Серёжа]

Армянское Радио: Ну из п. 4.4. получается не выполняется только:
-фильтрацию с учетом любых значимых полей сетевых пакетов; (это систему обнаружения вторжений надо навесить?);
-контроль целостности своей программной и информационной части;
-контроль целостности программной и информационной части межсетевого экрана по контрольным суммам;

[Клёвый Админ]

Армянское Радио: пасибо. Пригодится.

[Клёвый Админ]

yellowmew: Можно ставить лайк ветке, я предам =)

[Клёвый Админ]

Дядька Серёжа: имейте в виду, что для классического бизнеса (тот который для денег, а не для чего-то другого), любые правила безопастности буду скорее мешать эти самые деньги зарабатывать. Либо прямо (например лишая сотрудников интернета, можно сделать так, что они не узнают о снижении цен у конкурента или примерно из этой области), либо косвенно (всё будет работать медленнее и менее гибко, а значит нельзя будет сразу решать задачи или менять компанию под реальности рынка).
Всегда нужно соблюдать баланс паранои\безопасности vs удобства. Опять же, за исключением областей жизни где меры безопасности критичны (я их перечислил выше).