Алекс

Если нужно фильтровать RDP по маске IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление 2ФА одноразового пароля либо электронного ключа.
www.rohos.ru/2015/03/terminal-server-login-by-sms-otp (платно)

https://staffcounter.net/ru/dlp/
умеет ограничивать доступ для заданых ##.exe к путям по маске. например может запретить браузеру или скайпу открывать файлы вне своей папки профиля- т.е. пользователь не сможет приатачить файл, отправить его в облачн. диск или отправить по скайпу.

Обязательно Двух-факторный логин настроить для RDP подключений. Самое простое с помощью Rohos (платно) -
www.rohos.ru/2015/03/terminal-server-login-by-sms-otp

Самая обычная работа, не труднее и не проще. Если тебе это дело нравиться то все ОК будет!
Если копнуть в самую суть - то работа состоит из:
- обеспечение Целостности, Доступности и Конфиденциальности
- или проектирование средств Целостности, Доступности и Конфиденциальности.
- или аудит средств обеспечения Целостности, Доступности и Конфиденциальности
:) понятно ?

Какие нужны знания :
1. Управление информационной безопасностью и рисками - Руководители
2. Безопасность информационных активов - это про жизненный цикл данных, информации и типы контроля доступа.
3. Проектирование и разработка систем ИБ - Инженеры
4. Коммуникации и сетевая безопасность - Сис Админы
5. Управление доступом и идентификацией - Сис Админы
6. Оценка средств защиты и методы их тестирования - Аудит, Сис Админы
7. Операции по обеспечению безопасности - Сис Админы
8. Разработка надежного/защищенного ПО с точки зрения ИБ - Инженеры

О том Где этому учиться -
www.rohos.ru/2018/10/risk-management-in-cissp-cert...

Можно также полность зашифровать профиль Скайпа, Chrome, Firefox -
www.rohos.ru/products/rohos-disk/encrypt-skype

Согласен с мнением, что от системного администратора можно уйти во всякие ветки. Но сейчас очевидно что Админы должны хорошо разбираться в вопросах Информационной Безопасности. Знать о существовании всех ее аспектов и хорошо разбираться хотябы в одном аспекте ИБ, например Network Security.

Владимир как только ты копнеш в мир ИБ ты поймеш куда Рости Дальше! :) Удачи.

> А что с системным администрированием в целом и linux админами в частности?
Все зависит от Индустрии в которой ты работаеш. везде Нужны толковые и опытные админы. Но в некоторых местах просто "Болото" и твой талант там умрет так и родясь))

Вывод: Поэтому иногда надо сменить место)

Rohos Disk Encryption, шифрует папки и целиком приложения. Всю базу 1с надо разместить на контейнере Rohos. Включение и выключение контейнера при помощи электроного ключа rutoken. Двойная защита. Пароль никто не знает, только ключ включает доступ.

А чем не подходит десктайм? Для себя бесплатно вроде. Ещё у staffcounter.net неплохой мониторинг активных окон для Ubuntu.

Staffcounter.net , имхо имеет лучший агент под Linux, есть DLP , серверная версия в виде virtual box контейнера под ключ, включил и работает. 60т.руб.

Вдобавок Предложите начальству установить мониторинг ПК staffcounter.net (есть бесплатный вариант) для Дополнительного контроля сотрудников.

Самый простой и надежный вариант:
- выбрать Android телефоны без SD карты. только внутреняя память, чтобы исключить вообще утечку данных через SD при потере телефона.
- Выбрать Android 6.0 и выше и убедиться что там включено полное шифрование памяти.
- При выдаче телефона сразу настроить Графический Ключ для разблокировки экрана. Это спасет от утечки инфы на случай банальной утери смартфона и несанционированного доступа.
- Привязать телефон к корпоративным gmail (они должны принадлежать вам) через данные gmail - можно легко блокировать и стирать телефон удаленно, читать историю браузера и даже перемещений сотрудника.
Это необходимый минимум.

Далее если хочеться MDM,
- Мы пробовали StaffCounter , у них есть софт для Android который полностью мониторит телефон, переписку общение, координаты. Все телефоны видны в web панельке. можно глянуть кто чем занимается, какой софт у кого, кто где был. 60 руб в месяц за телефон.

Поддерживаю вариант с Windows Remote Desktop.
Но есть решения и для отдельного Ноута :
- Зашифровать Ноут можно и даже нужно - VeraCrypt в помощ, а также можно настроить аппаратный USB ключ (типа ruToken с ПИН кодом) чтобы человек не знал и не использовал пароль - а вставлял ключ и вводил ПИН для того чтобы ноут Загрузился. Ибо сложный пароль он запишет на бумажку.
- контроль устройств: платный софт - StaffCounter: заблокирует подключение других устройств, Блутуз, DVD, запретит загрузку ПО из интернета (и его Деинсталяцию в том числе) , отправку файлов в сеть в том числе LAN/FTP , и в общем будет следить за действиями пользователя, скриншоты и всякое такое.
- Насчет Сети пока не приходит в голову решение.