web-dev-qa-db-fra.com

Mesures antivol pour ordinateur portable

Un cabinet d'avocats avec lequel j'ai été en contact a récemment été cambriolé 3 fois au cours des 4 derniers mois. Malgré le vol d'un certain nombre d'ordinateurs portables et d'autres équipements contenant des informations sensibles, la société de support technique qui travaille occasionnellement pour eux n'a rien fait pour se prémunir contre un vol futur. J'ai proposé d'installer un logiciel antivol (comme Prey) et j'ai ensuite envisagé d'établir un système comme un pot de miel pour la collecte d'informations avec des enregistreurs de frappe cachés envoyant des informations à un certain nombre d'adresses e-mail.

Toutes les meilleures pratiques de sécurité physique mises à part, quelles autres mesures pourraient éventuellement être mises en œuvre ici? Ce sont tous des systèmes Windows. Je ne doute pas que les incidents distincts soient liés et menés par des criminels connectés, sinon les mêmes.

L'entreprise a déjà été en contact avec les autorités locales. Cependant, en raison d'un manque de documentation sur les articles volés, il n'y a pas de numéros de série ou d'informations utiles supplémentaires sur les appareils manquants en plus de la marque et du modèle, donc la récupération semble une impasse, mais au moins ils sont au courant des incidents.

36
Mike H

Pensez à vous procurer un produit logiciel qui crypte entièrement vos disques durs. Un tel logiciel invitera l'utilisateur à saisir le mot de passe utilisé pour chiffrer le disque dur lors du démarrage. Sans le mot de passe correct, le disque dur (y compris le système d'exploitation et toutes les données) ne peut pas être déchiffré, le système ne démarre pas et l'utilisateur n'a aucun accès aux données.

Dans ce cas, un voleur pourrait toujours être en mesure de vendre le matériel en bombardant les disques, mais n'aura pas accès aux informations sensibles qui y sont stockées.

La solution par défaut pour Windows est Microsoft BitLocker , qui est déjà disponible prête à l'emploi dans certaines éditions de Windows. Il existe également d'autres produits sur le marché comme Sophos Safeguard ou Truecrypt. Pour des recommandations sur le produit à utiliser, consultez Software Recommendations Stackexchange .

58
Philipp

Règle n ° 1: Contacter les forces de l'ordre.

Règle n ° 2: Si le cabinet lui-même ne semble pas s'en soucier, ni ne souhaite contacter les forces de l'ordre, pensez à cesser de faire les affaires que vous avez avec eux.

Règle n ° 3: Réfléchissez aux attaques dans leur contexte général et ne vous limitez pas aux mesures techniques.

Règle n ° 4: il est peu probable que l'installation des enregistreurs de frappe soit utile. Au lieu d'empêcher le vol ou de découvrir des attaquants, vous ouvrez largement une porte dérobée qui peut être exploitée par les attaquants.

15
Deer Hunter

Si les ordinateurs portables n'ont pas besoin d'être utilisés hors ligne, ne stockez aucune donnée sur les ordinateurs portables. Utilisez les ordinateurs portables comme clients légers . Cela peut alors vous permettre d'exiger une authentification multifacteur, de configurer des heures d'accès et de nombreuses autres améliorations supplémentaires par rapport au stockage local des données.

12
thunderblaster

Outre l'utilisation d'un logiciel de suivi et d'un chiffrement complet du disque, l'entreprise peut investir dans l'éducation des personnes concernées à utiliser leurs ordinateurs portables uniquement pour se connecter à des serveurs privés virtuels ( VPS ) où ils doivent enregistrer leurs données. De cette façon, si un ordinateur portable d'un travailleur est volé, aucune donnée ne pourra y être trouvée (je prends en compte le fait que vous avez déclaré que les bonnes pratiques de sécurité sont connues). Un objectif similaire peut être atteint s'ils peuvent investir pour acheter leurs propres serveurs - physiques.

3
user45139

Dans le cas des entreprises disposant d'informations sensibles sur leurs appareils mobiles, la plupart des entreprises avec lesquelles j'ai fait affaire ne prennent pas de mesures pour récupérer. Il s'agit strictement de s'assurer que les appareils sont inutiles en cas de vol. Les entreprises où la sécurité importait vraiment, ne se sont pas souciées de certaines des autres suggestions mentionnées ici, comme la sauvegarde des données uniquement sur VPS (difficile à appliquer), les mots de passe du BIOS (inutiles), le mot de passe/cryptage basé sur le système d'exploitation (inutile). Ils avaient simplement un chiffrement complet du disque avec quelque chose comme LUKS, qui est déverrouillé par le chargeur de démarrage. Très simple et brique efficacement la machine en cas de vol.

Vous devriez dire à votre employeur que c'est une solution efficace et que vous n'êtes pas dans le domaine de la récupération, ce devrait être le travail des compagnies d'assurance. Vous devez lui faire savoir que le "pot de miel" pourrait conduire à une solution imparfaite qui provoque des fuites de données. En supposant que ces vols sont très probablement liés au vol de données (B&E répété, cabinets d'avocats) qui devraient être leur première priorité.

3
Zachary Iles

Je pense que vous vous limitez trop au côté technique. vous devez d'abord verrouiller les ordinateurs portables à la fin de la journée dans une pièce sécurisée. Je veux dire une pièce sécurisée car le moyen le plus simple d'accéder à la pièce passe par une porte verrouillée dont la serrure peut être facilement changée. dans la pièce, mettez une sorte de caméra de sécurité pour le cas où le voleur entrerait dans la pièce. de cette façon, vous aurez une idée de qui est entré dans la pièce.

ce changement rendrait tout voleur beaucoup moins motivé pour accéder aux ordinateurs portables. et enfin après avoir utilisé le chiffrement complet du disque

3
5hammer

À l'exception des logiciels mentionnés ci-dessus, je vous recommande d'utiliser Outils d'administration à distance . Ils contrôlent efficacement votre ordinateur à partir de n'importe où dans le monde.

Prey Anti-Theft (gratuit) manque quand il s'agit d'enregistrer de l'audio, de voir la webcam, etc.

Ainsi, vous pourrez surveiller votre ordinateur, obtenir des informations sur le voleur, suivre son emplacement, etc.

Ensuite, vous savez quoi faire :-)

3
The VaLo

Le logiciel antivol installé après l'achat de l'ordinateur portable peut être contourné si le voleur commence par reformater le disque dur. Si vous choisissez de l'implémenter dans le cadre d'un système de défense global (comme Philipp a dit que vous devriez commencer par chiffrer le disque). Vous seriez plus susceptible de récupérer des données utiles si vous achetiez des ordinateurs portables préinstallés et qui utilisent des outils fournis par MS pour que le BIOS les réinjecte dans le système d'exploitation si le lecteur est effacé/remplacé. Ils sont récemment entrés dans l'actualité quand Lenovo les a abusés pour installer du crapware, mais utilisés comme prévu, ils rendent beaucoup plus probable que vous puissiez obtenir des informations qui pourraient conduire à la récupération de l'ordinateur portable.

Évidemment, ce n'est pas infaillible, si le voleur (et tous les futurs utilisateurs) installent uniquement un système d'exploitation différent, ils peuvent le contourner entièrement; mais les acheteurs typiques d'ordinateurs portables d'occasion voudront généralement continuer à utiliser ce qu'ils connaissent et c'est statistiquement beaucoup plus susceptible d'être Windows que Linux/etc.

Mots de passe de niveau Bios empêche quiconque d'allumer l'ordinateur sans mot de passe, mais cela ne les empêche pas de placer le disque dur dans un boîtier supplémentaire.

cryptage complet du lecteur Bitlocker intégré à Windows les empêche de lire entièrement les informations, sauf si elles se trouvent sur cet ordinateur.

Même avec/(out) toutes ces informations de cryptage privées, nuisibles et secrètes doivent toujours être stockées dans un dossier crypté et protégé par mot de passe .

À ce stade, si une personne vole l'ordinateur portable, bonne chance pour obtenir des données. Bien sûr, cela pose également le problème que maintenant, si quelqu'un oublie les mots de passe, vous remontez un ruisseau, et donc vous devez exécuter un système de recherche de mot de passe et de nom d'utilisateur interne qui est sûr et sécurisé. Mais c'est la nature de la sécurité. Plus vous êtes sûr, moins il est utilisable.

Les ordinateurs les plus sécurisés sont enterrés à six pieds sous terre, n'ont pas d'accès au réseau, sont éteints et détruits.

Bien sûr, si Bitlocker est excessif, ce sont d'autres options pour chiffrer quoi que ce soit .

Une autre voie à suivre est l'architecture de client léger qui signifierait qu'aucune donnée sensible ne serait stockée sur l'ordinateur portable. Cependant, cela nécessite un serveur pour se connecter et stocker des fichiers, ainsi que des configurations client et serveur, et des VPN qui doivent également être chiffrés.

2
Robert Mennell

Cryptez d'abord les disques durs pour protéger les informations sur les ordinateurs portables.

Vous devez permettre aux policiers de retrouver plus facilement les personnes et de les mettre en prison.

Il y a des modifications au bios des ordinateurs portables qui font ensuite un ping sur une adresse IP chaque fois qu'ils se connectent à un réseau. Vous pouvez ensuite regarder l'adresse source sur la poche et obtenir une ordonnance du tribunal pour que le FAI donné vous indique où se trouve l'ordinateur portable. www.absolute.com est une entreprise qui vend un tel système qui permet de désactiver et de suivre à distance un appareil.

Je penserais également à avoir une alarme qui active un jet d'eau intelligent lorsqu'elle se déclenche, de cette façon, il est facile de prouver que quelqu'un était dans le bâtiment au moment où l'alarme s'est déclenchée.

Lors de l'activation, le système de pulvérisation médico-légale SmartWater pulvérise les intrus avec un liquide invisible, marquant leur peau et leurs vêtements. Le liquide ne peut être vu que sous la lumière UV, restant sur la peau pendant des semaines et indéfiniment sur les vêtements. Il peut être utilisé pour relier un criminel à une scène de crime particulière, en restant détectable longtemps après que le crime a été commis.

Je serais enclin à faire ce qui précède sans afficher d'avertissement avec le moins de personnes possible. Il est préférable de mettre les gens en prison, puis de les faire voler le prochain bureau au lieu du vôtre.

1
Ian Ringrose

Comme d'autres l'ont mentionné, je pense que vous devez d'abord considérer la sécurité physique. À la fin de chaque journée, vous récupérez les ordinateurs portables et les enfermez dans un classeur dans une pièce verrouillée.

Je mettrais en place un registre des actifs pour enregistrer les marques, les modèles et les numéros de série des ordinateurs portables et autres équipements informatiques. Cela n'a pas besoin d'être plus sophistiqué qu'une feuille de calcul. Cela vous donnerait quelque chose à remettre à la compagnie d'assurance et à la police en cas de vol.

Une feuille de calcul distincte pourrait être utilisée pour enregistrer les utilisateurs des ordinateurs portables. Ils viennent à vous et demandent un ordinateur portable, vous entrez leur nom dans la feuille avec un horodatage. Si l'ordinateur portable ne revient pas, vous savez à qui vous adresser pour crier.

Si l'ordinateur portable doit quitter les lieux (pour se rendre dans la salle d'audience dans ce cas), assurez-vous que l'utilisateur est responsable financièrement s'il est endommagé, perdu ou volé. Les gens sont beaucoup plus prudents avec l'équipement s'ils savent qu'ils pourraient avoir à payer pour le réparer/le remplacer.

Lorsque je travaillais pour une société d'assistance technique, plusieurs de nos clients étaient avocats. Ils ont contourné le problème potentiel de perte de données en ayant un serveur Terminal Server et leurs travailleurs à distance ne pouvaient accéder qu'aux e-mails et aux informations client via cela. Les ordinateurs portables sont devenus des terminaux stupides. Cela signifiait également que tout le traitement lourd était effectué sur le serveur afin que des ordinateurs portables moins chers puissent être achetés.

Une fois la sécurité physique traitée, ils peuvent commencer à envisager le chiffrement des disques et le géolocalisation des ordinateurs portables. Nous avons eu beaucoup de succès avec des services comme AirWatch . Nous n'avons eu qu'un seul appareil manquant avec AirWatch installé dessus et l'ingénieur sur le terrain a pu le récupérer avec nos conseils via GPS. Je me sentais comme un espion, c'était super! :)

1
Burgi

Les mesures à prendre dépendent des inconvénients du vol contre lesquels vous souhaitez vous protéger:

  • Perte de données: Gardez les sauvegardes. Les données qui n'existent que sur l'ordinateur portable ne peuvent bien sûr pas être évitées lorsque l'ordinateur portable est hors ligne. Mais dès qu'il est en ligne avec une connexion décente, les données doivent être sauvegardées.
  • Fuites de données: crypter l'intégralité du disque. Si la solution de chiffrement ne parvient pas à effacer les clés de la mémoire lorsque l'écran est verrouillé ou que l'ordinateur portable est suspendu, fermez-le complètement à la place.
  • Perte financière: Perdre le matériel signifie une perte financière. La façon de se protéger contre cela est d'avoir une assurance.
  • Rendre le vol moins attrayant: Il existe deux approches. Augmentez les chances de vous faire attraper en suivant l'appareil. Rendre le matériel inutilisable pour le voleur. Rendre le matériel inutilisable est quelque chose qui ne peut pas être fait avec seulement des logiciels, cela nécessite certaines protections intégrées au matériel lui-même. Ma façon recommandée de mesurer la valeur de toute mesure pour rendre le matériel moins attrayant à voler est la suivante: quelle remise la compagnie d'assurance est-elle prête à vous accorder.

Une fonctionnalité intéressante qui ne rentre pas dans la liste ci-dessus est les sauvegardes qui fonctionnent après le vol de l'ordinateur portable. Bien que l'ordinateur portable fonctionne hors ligne et ne puisse pas effectuer de sauvegarde immédiatement, il est possible de créer des sauvegardes incrémentielles qui sont chiffrées et signées, puis de les stocker sur le disque. Cela peut être fait de manière à ce que la sauvegarde incrémentielle chiffrée et signée puisse être envoyée à un serveur sans que la clé de chiffrement du disque soit fournie. C'est cependant une fonctionnalité assez compliquée car elle s'étend sur des zones qui sont généralement maintenues séparées, donc je ne mettrais pas cela en haut de la liste des priorités. En particulier, il existe un risque important de gâcher la sécurité du chiffrement du disque lors de l'ajout d'une telle fonctionnalité.

0
kasperd