在组织内部，是否每个开发人员都需要在离开工作站时锁定其工作站？

当工作站处于解锁状态时，我们会看到什么风险？与"在线"(网络黑客)安全风险相比，我们如何看待这些风险？

我们认为哪种策略最有效地执行了锁定工作站的任务？ (这些政策可能是"技术性的"，例如要锁定屏幕保护程序的域组安全设置，也可能是"社会性的"，例如对不锁定屏幕的人施加一些惩罚，或者鼓励" Goating？")

解决方案

我所看到的唯一真正重要的地方是政府，国防和医疗设施。最好的执行方法是通过Windows上的用户策略和Unix系统上的"点文件"，在这些系统上，我们在登录时会预先选择屏幕保护程序和超时，并且不允许更改它们。

在我的组织(政府)中，是的。我们处理敏感数据(医学和SSN)。对我来说，这是本能：每次离开时都使用Windows + L。

该政策是社会性的和技术性的。在社交方面，我们被提醒，人身安全非常重要，每个人都知道我们所拥有的数据。在技​​术方面，工作站使用的组策略在2分钟后打开屏幕保护程序，并且"恢复时，密码保护"处于打开状态(并且无法关闭)。

我个人认为风险很低，但是根据我的经验，大多数时候都没意见-这通常是对大型公司或者政府客户的要求，他们需要实际进入并审核安全性。在这种情况下，最好使用某种技术(组策略)解决方案，因为我们可以实际证明自己符合要求。如果有法律上的隐私要求(例如医疗数据和HIPAA)，我也会这样做。

现实世界中的主要风险是同事"跟进"我们。我们可以通过设置组策略在X分钟后运行屏幕保护程序来强制执行此操作，这也可以锁定计算机。

我在一个提供我们一些设备的人员来自与我们直接竞争的公司的地方工作。当设备需要维护时，他们就在大楼里。一封电子邮件会时不时地发出，然后说它们会在那里，请在不使用计算机时将其锁定。如果竞争对手因为开发人员忘记锁定机器而获得了我们的资源，那么该开发人员将寻找新工作。

对我来说，这已成为习惯。在Windows计算机上，按Windows-L是锁定计算机的快速方法。

解决方案可能是社会性的，而不是技术性的。说服人们，他们走后不想让其他人阅读他们的电子邮件或者欺骗他们的帐户。

我从不锁定我的工作站。

当我的同事和朋友嘲笑我并使他们从我的机器发送尴尬的电子邮件时，我嘲笑了他，以为当我物理上访问他的机器时，锁定可以执行任何操作，因此我将他链接到该URL：

http://www.google.com/search?hl=zh_CN&q=USB+keylogger

我不使用同事无法平等访问的任何敏感数据，但我怀疑工作站锁定针对坚定的窥探者的有效性。

编辑：我不锁定的原因是因为我曾经使用过，但是它一直在Windows中造成奇怪的不稳定性。我仅按需重新启动，因此我希望我的机器可以运行数月而不会变得不稳定，并且锁定会成为障碍。

我们必须上班，并且自己执行。开始进行大量聊天，表示对人的爱，发送电子邮件，更改背景，等等。当新员工刚开始工作的第一天，所有人肯定会留下美好的记号:)

否，但是我上次在大型组织中工作时是一个1的组织，我们不是必须的，但受到鼓励。如果我和其他人一起处于环境中，则可能现在离开工作站时将其锁定。
当然，具有物理访问权限的人可以添加硬件按键记录程序，但对其进行锁定确实可以增加添加级别的安全性。根据我们所在组织的类型，我认为内部组织监听的风险更多是通过在线攻击进行的。

我以前工作的地方有一个始终锁定工作站的策略。如果我们未锁定工作站，他们会通过设置公司范围的邮件列表来强制执行此操作，同事会从帐户向该列表发送一封令人尴尬的邮件，然后锁定计算机。这有点有趣，也很烦人，但是总的来说是可行的。

上任可能会让我们被解雇，所以我不建议我们这样做。但是，如果不是在这种情况下工作，那将是有效的，即使只是一封宽泛的电子邮件，上面写着："从现在开始，我将始终锁定我的工作站。"

至少，计算机应在闲置X分钟后锁定自己，这应该通过组策略进行设置。

安全性就是提高标准，为完成某些不良工作付出更多的努力。完全不锁定工作站将降低该限制。

我曾经在一家非常大型的公司工作，在该公司工作站需要将徽章插入其中才能正常工作。如果没有该徽章，则不允许我们进入建筑物(无论如何，我们都需要徽章才能打开门)。将徽标从工作站的智能卡阅读器中取出后，我们将自动注销。

偏离主题，但更整洁的是，工作站更像是"网络工作站"(请注意，使用我刚刚描述的系统不是必需的)，并且徽章可以举行会议。将其弹出到另一座建筑物的另一台工作站中，这就是我们在另一台计算机上拉出徽章时离开它时的会话。

因此，他们基本上通过强迫人们注销工作站来解决该问题，我认为这是实施任何一种对安全性至关重要的策略的最佳方法。人们忘记了，这是人的本性。

我们结合社会和技术方法来鼓励IT人员锁定他们的PC：默认的屏幕保护程序/锁定设置以及令人讨厌的威胁。 (我最后工作的地方实际上锁定了屏幕保护程序设置。)

要记住的一件事是，如果我们拥有跟踪活动，更改或者两者的应用程序(尤其是SSO)，那么如果我们不确定用户记录的数据是否正确，则收集到的数据的价值可能会降低。实际进行了这些更改的用户。

即使在像我们这样的公司中，对于大多数用户而言，也没有很多公司相关的敏感信息可供使用，但肯定有人可以通过未锁定的工作站从另一名员工那里获取NBR数据。有多少人将密码保存到计算机上的网站？亚马逊？梦幻足球？ (危险的山羊胡子招募技巧：从其他人的名单上放下关键球员。只有当我们与他打交道时，这才很有趣，这样球员才能得到恢复。

要考虑的另一件事是，我们不能确定建筑物中的每个人都属于该建筑物。如果我们实际上是在建筑物中，则侵入网络要容易得多：当然，建筑物中的绝大多数人都在那儿，因为他们被允许进入，但是我们真的不想成为受害公司。一百万的家伙确实进入了大楼。 (甚至不必是故意的坏人：可以是某人的孩子，朋友，亲戚……)当然，让该人进入的员工也可以让该人使用他们的计算机，但是那种攻击的难度要大得多。

在人们走开之后，我们可以开始坐在人们的工作站上并装满[在此处插入任何不良物品]。我敢肯定，那行得通。

每次去喝咖啡时都要锁定工作站，这意味着我们每天输入密码10次，而不是一次。我们周围的每个人都可以看到我们输入的内容。而且，一旦他们拥有了该密码，便可以从远程计算机上冒充我们，而这要比所有人在办公室观看PC时要困难得多。因此，确定锁定工作站确实会带来更大的安全风险吗？

在我访问过的一些/大多数政府机构中，有可能让公众四处走走，他们的智能卡可以插入PC上的USB读取器中。该卡位于用户脖子上的项链上，并在卸下工作站时将其锁定。

我正在运行Pageant，并在这里的所有服务器上分配了我的SSH公钥。基本上，坐在我工作站上的任何人都可以使用我的密钥登录到任何地方的任何帐户。

因此，即使休息30秒钟，我也总是锁上机器。 (Windows-L基本上是我所知道的唯一基于Windows键的快捷方式。)

如果我们未锁定计算机，则我公司的所有者(和开发人员)将对代码窗口进行较小的更改，这使我们发疯，想知道为什么直到找到代码后代码才起作用。

不得不说，在听到恶作剧之后，我再也没有解锁计算机，我变得发疯了，因为有些代码使我发疯了。

我们可以采用一种简单的万无一失的方法，将指纹读取器插入为密码编程的计算机中，然后将其与USB接收器一起佩戴，如果我们离开工作站，则屏幕保护程序会主动锁定它，然后在我们出现在范围内，用手指从指纹读取器上滑动以解锁工作站，我认为这是一种非常便宜的操作方式，简单，无干扰且无干扰，不要忘记通过" WinKey + L"锁定

希望这可以帮助，
最好的祝福，
汤姆

是重要还是好习惯？在我们自己的房子里，锁住计算机并不是很重要，但是如果我们在客户办公室里走开，那我就说这很重要。

至于如何执行...

在阅读了Jeff的博客文章"不要忘记锁定计算机"之后；我喜欢将同事的桌面背景更改为...

1,238px 929px

不用说，同事们开始锁定他们的计算机。