>>>Правильное решение - перегнать рабочую воркстейшн в VM, а на десктопе установить свой хипервизор.
Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.
Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.
Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.
… Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2018-08-25 02:21 am (UTC)Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.
Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.
Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.
…
Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.