Zbytečné trable se spořiči obrazovky

Když jsme se rozhodli skutečně vynucovat používání spořičů obrazovky, ukázalo se, že předchozí dobrovolnost v po...


Když jsme se rozhodli skutečně vynucovat používání spořičů obrazovky, ukázalo
se, že předchozí dobrovolnost v podstatě znamenala chaos. Když jsem nastoupil
na své současné místo, jedním z mých prvních úkolů bylo nastavit na každém
počítači heslem chráněný spořič obrazovky s automatickou aktivací po několika
minutách nečinnosti uživatele. Znamenalo to, že pokud byl někdo odvolán mimo
své pracoviště (a tedy dále od svého počítače), důvěrné informace neměly být
viditelné pro ostatní. Připadalo mi to jako rozumné opatření, avšak nastavování
spořičů obrazovky se pro mne brzy stalo noční můrou. Všichni po mně totiž
chtěli, abych jim provedl tuto změnu co nejdříve, nebo alespoň žádali o nahrání
samotného programu šetřiče. Abych vyhověl všem najednou, nechal jsem je
hlasovat o tom, který šetřič budou společně užívat a jaký čas aktivace šetřiče
bude plošně nastaven.
Nakonec jsme zvolili standardní firemní spořič a v konfiguraci Windows NT
nastavili jeho 15minutovou aktivaci spolu s jeho spuštěním při přihlášení k
síti. Přibližně po měsíci jsem byl obklopen mořem šetřičů s logem naší
společnosti. A tak jsem završil malou část svého obrovského úkolu, jímž bylo
upevňování bezpečnosti naší firmy. Byl to začátek kulturních změn týkajících se
vnímání a realizace bezpečnostních opatření ve firmě. (Nebo jsem si to alespoň
myslel.)

Přinutit je
Nedávno jsme přešli z Windows NT 4 Server na Windows 2000 s Active Directory.
Tento produkt nabízí mnoho bezpečnostních vylepšení, zahrnujících mimo jiné
možnost aplikace síťových politik na počítače uživatelů zatímco jsou přihlášeni
k síti. A tak jsem požádal administrátory, aby naše standardní politika,
týkající se mimo jiné časových prodlev výše zmíněných spořičů obrazovky, byla
distribuována uživatelům každou hodinu. Protože se toto nastavení distribuovalo
již v okamžiku prvního přihlášení do Windows NT 4, nečekal jsem, že by změna
mohla přivodit nějaké potíže. Brzy jsem však zjistil, jak jsem se mýlil. Mnoho
lidí se připojovalo k síti a hned měnili nastavení tak, jak byli zvyklí. Nové
provedení je zaskočilo.
Čekal jsem, že přijde mnoho lidí, kteří budou chtít, abychom nastavili časovou
prodlevu aktivace spořičů na 999 minut, ale první, kdo přišel, byla skupinka
paranoidních bláznů, kteří chtěli nastavit časovou prodlevu na jednu minutu!
Měli strach na chvilku odejít od svých stolů, a nechat tak ostatním možnost
vniknout jim do počítače a ukrást jejich relace. Abychom provedli odlišná
nastavení pro tyto uživatele uvnitř Active Directory, museli bychom z nich
utvořit oddělené skupiny. Nechtěli jsme však měnit žádnou z našich stávajících
skupin jen proto, abychom zavedli jakési společenství bázlivých uživatelů
maximálně zabezpečených spořičů.
Místo toho jsem těmto lidem doporučil, aby vždy při opouštění pracoviště
stiskli klávesy Ctrl-Alt-Del a Enter, a tak znepřístupnili své obrazovky na
dobu, po kterou budou mimo své místo. Nabídl jsem jim i několik návodů, jak na
to nezapomínat. Rovněž jsem jim doporučil, aby se domlouvali se svými
spolupracovníky, že si budou navzájem zamykat přístup k počítači podle aktuální
potřeby.

Problémy s e-maily
Další připomínky k našemu řešení přišly od vývojářů, kteří užívají dva
počítače. Jeden pro tvorbu programů a druhý pro příjem e-mailů a pro některé
administrativní práce. Chtěli být v době, kdy programovali, upozorňováni na
nově příchozí e-maily, a automatické spouštění screensaveru jim v tom bránilo.
Ve chvíli, kdy jsou u svých stolů, nehrozí žádné bezpečnostní ohrožení, ale náš
systém nemá možnost nám sdělit, zda je uživatel v konkrétní chvíli přítomen na
svém místě, či nikoli. Chvíli jsem o tom přemýšlel, až mě napadla jedna
možnost, jak problém vyřešit: Použijeme Windows 2000 Server Resource Kit
Supplement One, o kterém se ví, že obsahuje průhledný spořič. Ten zabrání
nežádoucím změnám důvěrných informací a přitom dovolí uživateli vidět nově
příchozí e-mail. Je to skvělé řešení pro naše vývojáře a ze stejných důvodů se
hodí pro počítače, které slouží pro monitoring nejrůznějších statistik (např.
chování sítě). Celé řešení má ale bohužel jeden háček. Microsoft nezahrnul na
své CD všechny potřebné soubory. Ptal jsem se svého známého u této společnosti,
zda by mi je mohl poslat, ale bylo mi řečeno, že by to určitě trvalo nějaký
čas. Nakonec jsem však produkt získal a zdálo se, že se práce zdařila.

CEO zasahuje
Myslel jsem si, že tím končí veškeré hrůzy týkající se úplného prosazení již
předtím ustanovené a potvrzené politiky šetřičů. Opět omyl. Ještě mi zavolal
asistent ředitele a vysvětlil mi, že ředitel si spořič obrazovky nepřeje. "Co
když odejde pryč na půlhodinovou schůzku? Až se vrátí, bude se muset znovu
přihlašovat!" tvrdil asistent.
"Ano, přesně tak je to myšleno," odpověděl jsem mu.
"Nechtěl byste mu to tedy raději vysvětlit sám?" zaútočil. "Ano, rád,"
odpověděl jsem a požádal ho o sjednání schůzky.
Původně jsem z toho byl trochu vystrašený, ale nakonec jsem se s ním setkal a
poznal jsem, že jde o docela rozumného člověka. Jasně jsem viděl, že když jsem
mu vše vyložil, chtěl spořič sám používat. Jeho asistent mi ale nechtěl dát
šanci a hned začal obvolávat mé nadřízené, stěžovat si na mě a požadovat, abych
byl odkázán do příslušných mezí. Po mnohém rozčilování a několika setkání s
nadřízenými jsem byl schopen napravit škody, které ten chlapík způsobil. Byl
jsem chápán jako nadutec, kterému se příčí dělat to, co si přeje ředitelův
asistent. Podle mých zkušeností starší personál spoléhá na své osobní asistenty
ve všem, co se týká IT. A tak se pravděpodobně stalo, že ředitelův pomocníček
musel chodit do jeho kanceláře každých 15 minut, aby mu odemkl spořič
obrazovky. Chápu, že se mu to nemuselo líbit.

Všichni jsou šťastní
V naší firmě existuje postup takzvaného formálního odmítnutí, díky němuž lze
realizovat výjimky z bezpečnostní politiky, která by nevyhovovala našim
obchodním potřebám. Ředitel se nakonec rozhodl, že této možnosti využije.
Hlavní pro něj je, že nebude muset psát heslo pro spořič několikrát denně. A
tak již spořič nemá.
Někdo by snad mohl říci, že jde o neuvážený postup, který vystavuje jeho data
nebezpečí a podkopává podporu mého týmu. Navíc pokud naše řešení není dost
dobré pro něj, pak není dobré pro nikoho.
Na druhou stranu, ředitel není jen tak kdokoli. Ředitelův asistent hlídá jeho
kancelář velmi dobře, sleduje ji kamera a dveře do místnosti jsou vždy
uzamčené. Všechny tyto skutečnosti eliminují pravděpodobnost neoprávněného
přístupu na minimum. Řekl bych, že bitva se spořiči obrazovky byla konečně
vyhrána. Ale pokud jsou jednoduché bitvy takto složité, jak složité budou ty
obtížné?
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.