Even als sanity-check, of ik niet iets voor de hand liggends over het hoofd zie:

Mijn autoriteitsfiguren op het werk zijn plotseling wakker geschrokken van een veiligheids-risico dat we al jaren hebben genegeerd. Er staan hier op kantoor enkele PC's te ronken, die we als test-vehikels gebruiken en die 's-nachts een aantal test-jobs uitvoeren. De beeldschermen staan uit, maar in principe zou een interieurverzorgster erbij kunnen en dan in principe virussen kunnen planten, of iets dergelijks.
Kortom, mij werd gevraagd of ik toevallig wist hoe we dit zouden kunnen aanpakken. Een virtuele machine ligt voor de hand, en die gebruiken we ook intensief, maar niet voor deze taak, omdat de tests iets doen met de grafische beleving van de toepassingen en het alleen werkt, als de machine daadwerkelijk aan staat. Een disconnected VM is dus geen optie (een connected VM wel, maar die is dan net zo kwetsbaar als een fysiek werkstation).

Is er misschien iets te bedenken om fysieke werkstations te beveiligen, zodanig, dat geen ongeautoriseerde personen eraan kunnen prutsen? Niet alleen toetsenbord en muis zouden in zo'n scenario dienen te worden ontkoppeld, maar ook de USB-poorten. Misschien iets met een handige KVM die met een slotje werkt? Of toch letterlijk achter slot en grendel? Ik vind het bijna belachelijk dat het zo zou moeten, maar mij schiet even niets beter te binnen

Wij ''lockten'' weleens unattended kiosks met Crystaloffice Winlock (kan ook usb poorten blokkeren, i.c.m. bios pw en een slotje op de kast zou dat toch voldoende moeten zijn voor de security autisten/compliance).
Uiteraard nooit de admin user gebruiken.
Je kan de (uitgaand van Windhoos) desktop shell in regedit aanpassen naar je eigen applicatie, de facto kunnen ze dan weinig als je bios/boot gelocked is en alleen als normale non admin user ingelogd is.

Ik loop overigens tegen hetzelfde aan nu, Teamviewer wordt bij steeds meer klanten de ban in gedaan, voor een wildgroei aan VPN meuk. En fysieke pc's aan hebben staan als je weg gaat not done . Automatisch locken moest al sinds die iso certificering shit.

Je zou een labhok/testhok kunnen maken met een fysieke deur waar de schoonmaak in elk geval niet in mag komen.
Serverhok idd achter fysieke sleutel waar alleen een enkeling de sleutels van heeft.

vrijwel alles kan bij HP in het BIOS uitgezet worden. Neem aan dat dat bij andere PC bakkers niet anders zal zijn.

Fysiek = achter slot en grendel..

zou die test pc's gewoon in de server ruimte neer zetten en die deur op slot.
je kan wel met van allerlei plastic afdek kapjes etc beginnen maar dat maakt eigen gebruik ook weer erg lastig.

Inderdaad een dedicated ruimte inrichten met een dik slot erop en goed sleutelbeheer.

Of een 19" rack of andere afsluitbare kast waarin de PC's staan. Dan is fysieke toegang lastiger.

Overigens is het allemaal veiligheidstheater, want niemand gaat iedere morgen het hele netwerk controleren op rough devices. Want ergens een kastje bijprikken oid kan natuurlijk net zo goed. Als het echt veilig moet, dan kan het gewoon niet zijn dat er mensen fysiek aanwezig kunnen zijn die je niet vertrouwt.

Ja, maar zomaar een apparaat in het netwerk prikken levert nog geen toegang tot de file-server op. Daarvoor draait iedere rechtmatige gebruiker tijdens het opstarten een login-circus dat de boel via Active Directory autoriseert. Tenzij je een gemotiveerde cracker bent, kom je niet zomaar op ons netwerk (behalve de gast-wifi gateway dan).Dat was ook zo'n beetje mijn reactie op die vraag van de autoriteiten hier. Ik persoonlijk verdenk onze interieurverzorgsters zeker niet van onoirbare intenties, daarin zie ik geen enkele bedreiging. Maar het gaat uiteraard om het perspectief van management, aansprakelijkheid, verzekeringen, toezeggingen en andere theorie die veelal niets met de praktijk te maken heeft.Helaas kan ik dat werkstation niet screen-locken, omdat de gebruikers-emulator dan de grafische objecten niet meer herkent. Hetzelfde probleem heb ik met een disconnected VM. Console-apps kennen dat probleem uiteraard niet, maar de tests omvatten nu eenmaal ook veel grafisch geweld, waarvoor het werkstation aan dient te staan, alsof de fysieke gebruiker er aan zit. En dat is nou meteen ook het veiligheids-probleem.

Dan toch maar fysiek verstoppen dus? Kast erom heen, of in het server-hok, of in een 19"-rack met afdekplaten er om heen, of iets dergelijks? Jarenlang hebben we er geen last van gehad, dat we zo werkten, en nu plotseling moet het allemaal anders, omdat iemand iets "ontdekt" heeft .Misschien biedt dat mogelijkheden. Eens nader bekijken dus. Dank je wel voor deze tip, al zie ik meteen beren op de weg in mijn geval, omdat toegang tot het netwerk via dat werkstation nu eenmaal niet uitgeschakeld kan worden tijdens test-sessies. Toetsenbord-, muis- en USB-toegang zou wel nog kunnen, daar moet ik eens over nadenken.

We zijn bezig om stapje voor stapje alles naar Azure over te planten. Er komt een dag dat ik dat test-werkstation vaarwel kan zeggen, zodra hetzelfde op een Azure-VM draait, maar zover zijn we nog niet.

Nou, bij een eerdere werkgever van mij verdwenen er significant meer Senseo-pads dan dat er koffie gedronken werd. Bleek uiteindelijk ook de interieurverzorging te zijn.

Senseo-pads stelen... Dan heb je echt geen smaak!

Duidelijk, de interieur verzorgers hebben weinig verstand van koffie. Zouden ze dan wél verstand hebben van een gebruikers-emulator op een test-werkstation met mogelijke toegang tot file-servers ??

Nee, die gaan voor de Senseo. Maar wat als ik bedenk dat er wel wat te halen valt bij die toko van jullie?
Ga ik toch lekker als interieurverzorger aan het werk, of koop ik er één om voor een zak koffiepads.
Of ik loop 's avonds tegelijk met hen naar binnen, zeg vriendelijk dat ik nog een afspraak heb met Broadie die zo wel zal komen en ga in de kantine koffie zitten lurken. Druk ik daarna m'n stickie wel in die machines van jullie. Ik zou niet alleen naar het fysieke aspect kijken, maar er vanuit gaan dat iemand wel fysiek toegang heeft. Wat kan hij/zij/het/weetniet op dat moment allemaal verkloten of stelen? Dat kun je ook zoveel mogelijk minimaliseren.

Dit soort dingen kan je natuurlijk ook leuk laten testen. Krijgt management helemaal een beroerte

Je moet dan wel durven, want zo'n grote toko zijn we nou ook weer niet. De sociale controle werkt nog wel enigsziens hier. Een vreemd gezicht valt meteen op. Maar, zo iemand zou wel een alibi kunnen hebben, als familielid van een interieurverzorgster bijvoorbeeld, die zogenaamd komt meehelpen.
Stickie in de test-PC en even wat met toetsenbord en muis zou kunnen, als er niemand meekijkt in die ruimte. Het is fysiek zeker denkbaar. Alleen niet logisch, gezien de sociale controle en de kleinschaligheid van onze toko, waar je niet kunt opgaan in een menigte die er niet is.

Ik zit nog te denken aan het plaatsen van de test-PC in een archief-kast, die allemaal afsluitbaar zijn. Gat achterin boren voor netsnoer en ethernet, en het is gepiept. Dan alleen nog afspraken maken over het sleutelbeheer. Hmmmm....

Ahja dat hebben wij ooit ook een keer gedaan. Moet het testen niet al te warm worden.

Dan moet er dus uit voorzorg nog een blazertje in de achterkant. Dicht gaat die kast middels twee horizontale roldeuren. Daarlangs kan genoeg lucht instromen, als die van achteren wordt weggezogen. Zou kunnen werken, denk ik. Volgende week maar eens bespreken met de community hier (als ze eens hier hun gezicht laten zien, en niet thuis in hun boxershorts aan hun bureautjes zitten te teamsen).

Blijkbaar zijn er ook mensen die die dingen gebruiken op dat kantoor.

Heel goed Liefst met regular pads van Jumbo. Veel beter dan zo'n oploskoffiemasjien. Als daar geen cappuccino uit komt dan geef mijn portie aan fikkie.

Test stations moet je gewoon beperken in rechten. Daarnaast zou ik dringend willen adviseren om de boel uit te zetten. Zeker stations welke je nauwelijks gebruikt. i.v.m. updates e.d.

Bij mijn werk kwam ik na een gerichte ransomware aanval enkele stations tegen welke nauwelijks gebruikt werden. Deze stonden altijd aan.

Wanneer men een specifieke printer moest configeren sloot met de monitor kabel aan...

Na overnemen van dit station kwam ik een user tegen welke enkel remote werkt uit het buitenland. Deze was hierop ingelogd Ook stond er in geplande taken een encyptor gescheduled...

Als je toch geld wilt uitgeven, ga dan ajb in zee met een grote partij en scan constant je netwerk op verdachte activiteiten. Vooral remote acces tools en partijen welke met een traag stroompje je data stelen... Om daarna te dreigen om je data te verkopen

Daarnaast heb je al eens een pen test overwogen? Anders kon je wel eens na een lang weekend op kantoor komen en erachter komen dat je niet meer in je domein kan komen.

Is inbouwen in een Rittal VX IT kast niets? Kan met 19" profielen maar ook gewoon met een paar legborden. Geventileerde deur erin en je hoeft ook geen fratsen uit te halen met geforceerde ventilatie.
Zeg maar zo iets: https://www.rittal.com/nl-nl/products/P ... Id=5307114

Een paar zij panelen en een 100mm sokkel erbij en een handgreep met cilinderslot en je bent klaar. Zijn ook nog eens nette kasten om te zien.

Het doel van die Test-PC is juist dat er 's-nachts ongeveer 8 uur lang allerlei gebruikers-tests worden uitgevoerd met nogal wat GUI-interactie. Dan is het uitschakelen van functionaliteit niet het handigste in die contekst.Ik zelf niet, maar de IT-verantwoordelijke in onze toko schijnt met iets dergelijks wel bezig te zijn. Hij suggereerde ook dat er iets moest gebeuren met die "vergeten" werkstations. Hoezo "vergeten", antwoordde ik in alle onschuld. Dit zijn normaal beheerde werkstations. Het enige kwetsbare in vergelijking met mijn PC's, waar ik overdag aan zit, is dat ze zonder screen-lock 's-avonds en 's-nachts aan blijven staan.
En waarom kan er geen screen-lock op? Omdat dan de scripted test-engine niet goed samenwerkt met de grafische objecten. Met de console-apps kan ik gewoon screen-locken, maar dan mis ik coverage zodra GUI-apps voorbij komen, die hun objecten achter de lock verstoppen.Wow, cool (zeker met een goed werkende blazer). Alleen net iets te hoog op de budget-ladder gesitueerd voor die ene of twee test-PC's, die over een jaartje of zo toch worden gepensioneerd en door Azure cloud VM's worden vervangen (dat is ten minste het grove plannetje hier).