Podkast 22T10 Blokowanie HotSpot – Windows 10

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podcastu. Dziś temat hotspota na Windows 10, sposobu jego wyłączenia, ograniczenia, kontrolowania. Jeżeli chodzi o udostępnienie naszej sieci, często firmowej to oczywiście taki scenariusz jest najczęściej niepożądany, bo nie mamy żadnej kontroli nad tym, komu udostępnia dostęp do sieci firmowej taki laptop z Windows 10. Aby to ograniczyć, jest możliwość wpisania odpowiedniego wpisu, zmiany w rejestrze Windowsa. Jeśli będziesz chciał zobaczyć, jak to zrobić, to w najbliższym odcinku poniedziałkowym możesz poznać szczegóły. Natomiast z punktu widzenia takiego bardziej ogólnego zarządzania, najlepiej byłoby mieć ten komputer w domenie i z domeny odpowiednią politykę i odpowiednie wpisy wysłać. Tu oczywiście pojawia się też powiązanie tematu uprawnień administratora. Jeżeli udostępnisz uprawnienia administracyjne dla użytkownika końcowego, a ten użytkownik będzie chciał sobie tą możliwość włączyć to niestety będzie miał taką opcję.

Tu się pojawia pewien balans pomiędzy użytecznością a bezpieczeństwem, bo z kolei wyłączenie uprawnień administratora często powoduje brak możliwości instalowania aplikacji a to nakłada najczęściej duży wysiłek, dużą dodatkową pracę, wymagania na zgłoszenia serwisowe użytkowników. Tu, w zależności od firmy, co jest ciekawe w sumie mało takich firm obserwuje, które wyłączają taką możliwość pracownikom. Być może jest to też kwestia mojego kręgu zainteresowania. Ja pracuję najczęściej z ludźmi i w firmach takich, które dają dużą niezależność tym pracownikom, licząc się oczywiście z pewnym ryzykiem z tym związanym, dlatego, żeby tych pracowników nie ograniczać w efektywności, wydajności pracy. Zwłaszcza to dotyczy osób, które zajmują się instalacją, sprzedażą, takimi typami pracy, które są bardziej luźne. Więc jeśli ktoś ma bardzo prosty i szablonowy schemat obowiązków, to jego komputer ograniczony tylko do konkretnych aplikacji może się sprawdzić. Natomiast jeśli ma bardziej niezależną, elastyczną formę pracy to najczęściej będzie go to mocno ograniczać. Takie przykłady również znam i odbiór pracowników przy blokowaniu dostępu administracyjnego nie jest zbyt dobry. Traktują wtedy firmę bardzo z dystansem i trudno jest o zaangażowanie. Są to dwa aspekty.

To, co najczęściej widzę, to jednak monitorowanie, czyli przekazanie uprawnień administratora do użytkowników końcowych i jednocześnie instalacja oprogramowania, zarządzania stacją końcową, monitorowania tej aktywności, tak, żeby była rozliczalność. Jest to najbardziej sprawdzający się tryb dla osób, które mają i prowadzą bardziej elastyczny tryb pracy.

Wracając do hotspota, jest to jeden z możliwych scenariuszy udostępniania sieci firmowej. Inna opcja jest taka, że ktoś może zbridżować sobie dwa interfejsy. Czyli podłączyć jednym interfejsem internet a drugim sieć korporacyjną i połączyć te dwa dostępy. Mamy jakiś prosty router, najczęściej domowy, który świadczy dostęp internetowy a kablem jest podłączony dany użytkownik do sieci korporacyjnej. Taki tryb oczywiście też możemy wyłączyć, czyli możemy konfiguracyjne na Windowsie zadać, najczęściej z domeny, taką politykę, że jeśli jest włączony jeden interfejs to drugi nie może być włączony. Automatycznie WiFi jest wyłączone, jeśli podłączymy kablem. Jest to bardzo częsta konfiguracja, którą spotykam w praktyce.

Inne możliwości dla scenariusza takiego, że ktoś pracuje z domu i chcemy dać mu dostęp do zasobów firmowych po VPN-ie ale chcemy zablokować możliwość korzystania z wszystkiego innego. Gdy nie jest podłączony VPN-em do naszej firmy to oprócz tego nie może się z niczym innym połączyć. Takie możliwości też są. Ostatnio widziałem taki tryb lock down dla połączeń VPN-owych. Obecnie jestem bliżej rozwiązań Pulse Secure i Ivanti więc to jest przykład, który jest realizowany akurat na tych produktach. Ciekawe jest to, że dla scenariuszy, gdzie zakładany był dostęp jedynie z lokalizacji firmowej a dziś z powodu pandemii muszą ci pracownicy pracować zdalnie to taki tryb lock down może być rozwiązaniem. Blokujemy możliwość dostępu do zasobów internetowych czy w ogóle nawet lokalnych z domu, czyli ograniczamy znacznie możliwość zainstalowania Malware. Po prostu Ci użytkownicy będą korzystać tylko z dostępu firmowego, bo tylko do tego będą mieli dostęp, laptop ten jest dużo mniej użyteczny, jeśli chodzi o dostęp prywatny.

Jest oczywiście jeszcze taki mieszany tryb, czyli na zasadzie split tunnelingu, wtedy nie blokujemy dostępu do Internetu lokalnego, ale umożliwiamy dostęp do zasobów firmowych przez VPN-a a do Internetu przez lokalny internet. Wtedy niestety nie mamy aż takiego wpływu na to co robi użytkownik i jak korzysta, natomiast nadal możemy monitorować tą sytuacje. Jeżeli mamy jakieś sprawdzające oprogramowanie na stacji końcowej, aby zapewnić rozliczalność, to taką opcję możemy oczywiście wykonać. W zależności od tego kto jaki ma tryb pracy, jakich ma pracowników, czy mają oni bardziej określone sztywne zadania, czy mają w pracy większą niezależność to takie należy rozwiązanie dobrać, jeśli chodzi o użyteczność. Ja jestem zwolennikiem, żeby mieć na uwadze tą użyteczność zapewniając możliwie wysoki poziom bezpieczeństwa, ale trzeba mieć na uwadze, że to generuje koszty. Koszty różnego rodzaju – nie tylko w sprzęcie, ale też właśnie w efektywności ludzi, w ich zaangażowaniu, czyli koszt po stronie bardziej osobowej.

Jeśli masz do tego jakieś pytania to zachęcam do napisania w komentarzu, jeżeli nie to dziękuję Ci za uwagę i do usłyszenia już za tydzień 🙂