Планирование использования собственного устройства (BYOD) (часть 1)

Опубликовано: 20 Марта, 2023

  • Планирование использования собственного устройства (BYOD) (часть 3)

Введение

Спросите любого отраслевого аналитика, каковы были самые горячие ИТ-тенденции 2012 года, и «Принеси свое собственное устройство» (BYOD) наверняка окажется в верхней части списка. Консьюмеризация ИТ стала настолько распространенной, что пользователи ожидают, что им будет разрешен доступ к корпоративным данным со своих личных устройств. Однако вы не должны предоставлять пользователям такой доступ только потому, что это популярно. Существует много планирования, которое необходимо выполнить заранее, чтобы обеспечить безопасность вашей сети и ваших данных. В этой статье обсуждаются некоторые решения, которые необходимо будет принять, чтобы обеспечить успешный переход на BYOD.

Какие ресурсы должны быть доступны?

Я слышал, как некоторые ИТ-специалисты говорили, что суть BYOD заключается в том, что пользователи должны иметь возможность делать со своих личных устройств все, что они могли бы делать с ПК в своем офисе. Лично я не согласен с этой философией. Нет закона, который говорит, что пользователи должны иметь мобильный доступ абсолютно ко всему.

Пользователи должны иметь доступ к приложениям и данным, которые им необходимы для выполнения их работы, но удобство мобильного доступа не должно ставить под угрозу безопасность сети или данных организации. Я рекомендую проверять сетевые ресурсы один за другим и определять, какие ресурсы безопасны для мобильного доступа, а какие нет.

Работая над этим процессом, вы можете определить, что доступ пользователей к корпоративным ресурсам с личных устройств на самом деле не является проблемой, но вы не чувствуете себя комфортно, когда определенные типы данных доступны из-за периметра сети. В таких ситуациях вам не обязательно отказывать пользователям в возможности использовать их собственные личные устройства. Вместо этого вы можете настроить некоторые правила брандмауэра, которые сделают ресурсы доступными для пользователей, работающих с личных устройств, пока они имеют доступ к беспроводной сети организации. Доступ к этим ресурсам может быть запрещен VPN-подключениям или другим решениям удаленного доступа.

Какие типы устройств должны быть разрешены?

Одной из основных причин использования BYOD является предоставление пользователям возможности работать с наиболее удобного для них устройства. Однако это не обязательно означает, что вы должны разрешать доступ к вашим сетевым ресурсам со всех типов устройств.

Когда вы определяете, какие типы устройств конечных пользователей разрешены в вашей сети, лучше всего подумать о последствиях для безопасности каждого типа устройств. Например, я знаю как минимум пару организаций, которые разрешают пользователям доступ к сетевым ресурсам со смартфонов или планшетов на базе ARM, но не с ПК. Причина этого в том, что уровень заражения вредоносным ПО для ПК намного выше, чем для других типов устройств.

Некоторые организации пытаются снизить этот риск, позволяя мобильным пользователям получать доступ к сеансам удаленного рабочего стола, а не устанавливая прямое подключение мобильного устройства к сетевым ресурсам. Хотя использование сеансов удаленного рабочего стола в некоторой степени повышает безопасность, все еще существует вероятность того, что ПК, на котором работает пользователь, может содержать кейлоггер или другое вредоносное ПО, которое может похитить конфиденциальные данные.

Если у вас есть пользователи, которым необходимо иметь доступ к корпоративным ресурсам со своих личных ПК, у вас есть несколько различных вариантов обеспечения безопасного доступа к этим ресурсам. Одним из таких вариантов является использование функции защиты доступа к сети Windows Server.

Защита доступа к сети является частью служб маршрутизации и удаленного доступа. Он позволяет администратору определить, что означает работоспособность удаленного клиентского компьютера. Например, вам может потребоваться использование определенных операционных систем. Вы также можете установить другие требования безопасности, такие как современная антивирусная защита или включение брандмауэра Windows.

В некоторых случаях даже возможно использовать автоматическое исправление, если пользователь подключается к сети с неработоспособного ПК. Например, если вы требуете, чтобы у удаленных клиентов был включен брандмауэр Windows, и кто-то подключается к сети без предварительного включения брандмауэра Windows, ваш сервер может автоматически включить брандмауэр на компьютере пользователя, прежде чем предоставить ему доступ к сети.

Хотя вы можете использовать защиту доступа к сети, чтобы убедиться, что удаленные клиенты подключаются с исправных ПК, защита доступа к сети не является идеальным решением. Конечно, защита доступа к сети позволяет определить, что означает работоспособность удаленного клиентского компьютера, но критерии, которые можно использовать для определения работоспособности клиента, несколько ограничены. В этом случае лучшим решением для тех, кому необходим удаленный доступ к сети с ПК, может быть использование Windows To Go.

Windows To Go — это новая функция, предлагаемая Windows 8. Основная идея заключается в том, что Windows 8 можно установить на загрузочный USB-накопитель. Причина, по которой этот подход так полезен, заключается в том, что когда пользователь загружает Windows to Go, он загружается непосредственно с флэш-накопителя USB, а не с внутреннего жесткого диска компьютера.

Устройство Windows to Go может включать экземпляр Windows 8, который полностью соответствует всем стандартам безопасности организации для настольных компьютеров. Кроме того, вы даже можете устанавливать приложения на флэш-накопитель, если они достаточно малы.

Когда дело доходит до использования Windows to Go в качестве решения BYOD, многие организации настраивают среду Windows to Go так, чтобы она была максимально безопасной, а затем предоставляют ей доступ к сеансу удаленного рабочего стола вместо того, чтобы пытаться хранить данные и полный набор приложения прямо на флешку.

Даже если устройство Windows To Go не содержит никаких данных, безопасность по-прежнему остается чрезвычайно важным фактором. В конце концов, если пользователь потеряет устройство Windows to Go, то кто-то потенциально может найти это устройство, а затем использовать его для получения доступа к корпоративным ресурсам. Лучший способ предотвратить это — зашифровать устройства Windows To Go с помощью шифрования BitLocker.

Если вам интересно, вы можете использовать Windows To Go практически на любом USB-накопителе емкостью 32 ГБ, совместимом с USB 3.0 (хотя Microsoft хочет, чтобы вы использовали USB-накопители, сертифицированные для Windows To Go). Клиентскому компьютеру требуется только достаточное оборудование для запуска Windows 8 и возможность загрузки с USB-устройства. Несмотря на то, что Microsoft требует использования флэш-накопителей USB 3.0, вы можете загрузить устройство Windows To Go с компьютера, имеющего порт USB 2.0. Конечно, Windows будет работать намного лучше, если вместо этого вы будете использовать порт USB 3.0.

Вывод

Надеюсь, вы начинаете понимать, что действительно есть много вещей, которые нужно учитывать, если вы хотите, чтобы пользователи могли использовать преимущества BYOD. Во второй части этой серии я продолжу обсуждение, рассказав о дополнительных соображениях, которые следует учитывать.

  • Планирование использования собственного устройства (BYOD) (часть 3)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023