>>>Правильное решение - перегнать рабочую воркстейшн в VM, а на десктопе установить свой хипервизор.
Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.
Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.
Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.
… Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.
no subject
Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.
Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.
Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.
…
Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.