Комментарии 42
Хм... неплохо.. Плюсую
Угу, щас.
Я, получив корпоративный ноут, сразу же снёс дефолтную систему, отформатировал винчестер и поставил новую систему и ПО в соответствии со своими предпочтениями.
Пожалуй, если ноутбуки жёстко закреплены за конкретным сотрудником, нет текучки, хорошо налажена система учёта, с ноутбука с «предпочтениями» не осуществляется прямой доступ к сколь-нибудь значимой информации (к примеру, только через облако-воркспейс с хорошо прописанными правами), на геолокацию действительно можно не заморачиваться.
Если у вас именно такая компания, то за вас можно только порадоваться.
Кстати, у меня есть подозрения, что похожую систему на некоторых моделях ноутбуков можно реализовать прямо в UEFI. Интересно, разрешат ли где-нибудь работникам менять UEFI на корпоративных ноутах на дефолтное…
Полностью зависит от того, как и на каких условиях на работе выдаются ноутбуки. Есть вариант, когда ноут покупается за средства компании, но передается в 100% личное пользование сотрудника до дня его увольнения или попросту дарится. Что и как он с ним будет делать - его забота. С одной стороны, человек бережнее относится к своей вещи, а с другой - всяческие запароливания и системы слежения неприменимы да и ненужны, согласен. Но бывают и другие случаи, когда ноуты берут разные сотрудники в разное время. Скажем, "Иван приболел/улетел в командировку, Ивану нужен рабочий ноут на пару недель. В него загружается перемещаемый профиль или там банально "rdp с впнкой". Иван попользовался и вернул. Или забыл вернуть. Или передал сотруднице Наташе, но забыл отчитаться. И тут уже подобные средства весьма полезны.
Один из вариантов - использование mobile device management, например, Microsoft Intune.
И пока вы не поставите intune, он не проверит вашу машину, не поставит кучу необходимого софта (антивирус, патчи и т.п.) - вы просто не сможете подключиться к корпоративной сети и нормально работать.
По факту - переставить можно, но итоговое окружение все равно будет такое же как корпоративное.
Я, когда прочитал фразу "GPS-трекер для скота", подумал - как оригинально они называют пользователей корпоративных ноутбуков)
Речь, в общем-то, прежде всего идёт о местоположении ноутбуков, а не сотрудников.
Есть и организации, которые спокойно могут выдать новый ноут со склада и не париться. Но далеко не все могут это себе позволить.
Ту же текучку кадров в определённые, гхм, геополитико-экономические периоды в некоторых относительно развитых странах, никто не отменял. Я со своим сугубо техническим инструментарием на эти процессы и хотел бы влиять, да что-то не получается пока (
А если организация большая, с десятками тысяч человек, то, скорее всего, такие системы там внедрены, и на более серьёзном уровне.
о местоположении ноутбуков, а не сотрудников
А это не одно и тоже? Ноутбук, чаще всего находится там же, где и сотрудник
Вообще, прежде чем пилить такую систему, я бы задался вопросом, а зачем знать где находится ноутбук? Что даст это знание?
Если компания переживает за сохранность техники, то ее нужно выдавать под роспись конкретному сотруднику, с фиксацией даты получения и возврата. В таком случае бухгалтерия видит, что ноутбук А находится у Васи П. и проблема с поиском потерянного ноутбука будет его головной болью.
В вашем случае я не очень понимаю, как знание о местонахождении ноутбука поможет, если его забыли в аэропорту, или если Вася П. уволился и не хочет его отдавать. У вас есть отряд особого назначения, который будет штурмовать жилище Васи и силой забирать имущество? Или имеет доступ во все помещения во всех аэропортах мира?
Еще остается открытым вопрос, как слежка за местоположением сотрудника соотносится с законодательством.
как знание о местонахождении ноутбука поможет, если его забыли в аэропорту
Если ноут забыл, сотрудник может быть вообще ещё не в курсе. Звоним сотруднику или в спец-службу аэропорта или гостиницы, не теряем технику. Мне думалось, это очевидно.
или если Вася П. уволился и не хочет его отдавать
Я вам больше скажу, наш Василий может его уже и продать. Для таких событий есть не личный штурмовой отряд, а соответствующие гос. органы. Опять же, это довольно очевидно.
как слежка за местоположением сотрудника соотносится с законодательством
Это сильно зависит от конкретных соглашений между работником и работодателем, а также от построенного делопроизводства внутри организации. Думаю, что вариант «ноутбук записан за определённым пользователем» (и эта система работает в организации чётко) будет при прочих равных сильно отличаться с т.з. законодательства от «вот возьми там в куче ноут нам всем некогда потому что мы делаем работу за троих потому что опять кризис».
А вот, например, Миша после работы пошел в гости к Маше, с ноутбуком.
А Петя, муж Маши, в командировке в другом городе. А вы все это видите и решаете немного пошантажировать Машу.
Вы уверены, что вот это вот все, законно? У суда спрашивали разрешение на слежку или кто-то еще дал? Посадят ли вас всех за это, тоже хороший вопрос.
Миша после работы пошел в гости к Маше, с ноутбуком
Полагаю, что это целиком и полностью проблемы Миши. Точно так же, как если бы он поехал к Маше на служебном авто. Не говоря уже о том, что служебный ноутбук для того и служебный, чтобы на нём работать. Если Миша и Маша там увлечённо кодят, работодатель будет только за, я уверен.
А Петя, муж Маши, в командировке в другом городе. А вы все это видите и решаете немного пошантажировать Машу
Не уверен, что познания работодателя должны простираться столь далеко, чтобы такую цепочку реализовать. Наличие конкретного сотрудника со злым умыслом, конечно, исключать нельзя. Я тоже был бы рад, если бы злых умыслов было меньше, уверяю вас.
Что касается «посадят», то: конкретно шантаж — наказуемое деяние, но обсуждение вопроса однозначно выходит за рамки статьи. Что касается геолокации устройств: такого запрета нет и в ближайшие годы не появится — лобби техно-гигантов не даст.
это целиком и полностью проблемы Миши
И ваши тоже. Миша имел все основания полагать, что останется у Маши на ночь, и не на одну, следовательно ему придется работать от Маши. Плюс к нему в любой момент может позвонить насяльника, попросить что то там быстро сделать за пол часика- полюбому, и Мише необходим ноутбук для того, чтобы быть готовым всегда оказать свои профессиональные услуги организации. А организация за ним шпионит и тем самым вмешивается в его личную жизнь.
А ещё это проблема Маши. Маша у вас не работает, и она за вмешательство вашей организации в свою личную жизнь может и в суд пойти.
А вот что будет, когда суд расценит, что после того, как вы путем установки на ноутбук определенного ПО превратили его в электронно-цифровое устройство, осуществляющее следящую деятельность, это уже совсем другая история!
Однако источник этой проблемы далеко не в описанной в статье технологии.
От себя могу лишь добавить, что желаю всем рабочим коллективам полного отсутствия таких миш и маш.
Если Маша у нас не работает, то о её существовании вообще и горячей любви к уехавшему в командировку мужу в частности мы даже не узнаем. Ваш пример высосан из пальца и натянут на глобус.
Предположу, что рассматриваемый процесс, скорее, находится в этической плоскости, чем в области формальных отношений работника и работодателя. Думаю, что возможность такого контроля должна быть понятна обеим сторонам и не осуществляться скрытно от пользователя.
Для меня, как работника и представителя раработодателяля своего коллектива, более полезным будет, например, возможность дистанционного обнуление информации с утерянного ноутбука при подключении к сети.
Предположу, что рассматриваемый процесс, скорее, находится в этической плоскости, чем в области формальных отношений работника и работодателя
Полностью согласен. Работник и работодатель часто проводят больше времени «вместе», чем в своих семьях (что грустно, но имеет место быть). Если между ними нет некоторой степени доверия, им, пожалуй, стоит расходиться.
возможность такого контроля должна быть понятна обеим сторонам и не осуществляться скрытно от пользователя
Совершенно верно.
возможность дистанционного обнуление информации с утерянного ноутбука при подключении к сети
Интересная мысль. Попробую реализовать, как будет свободный хост.
Интересная статья. Спасибо.
Работаю в крупной компании с 1000 + сотрудниками. Офисы есть как в столице так и в разных городах страны. Если для мелких фирм на около 50-100 сотрудников такая фишка кажется бессмысленной, то нам она очень даже пригодится. Случаи бывают разные, в региональном офисе срочно уволили сотрудника за его косяк, приняли нового. Новому срочно сказали учетку создать, а документами ответственность за ноут забыли переоформить. По учету ноут за уволенным, по факту пользуется новый сотрудник. Со временем и нового увольняют, ноут пропадает из сети и найти сложно. И таких случаев может быть несколько в разных городах. Поэтому такая фишка очень может быть полезна
Обойти такую слежку зная о ее наличии совсем не сложно
Предложите варианты обхода? Предполагается, что у пользователя доступ к ноутбуку на уровне пользователя, не администратора. Возможность «накатить систему как хочется» из соседнего комментария тоже недоступна.
Предложите варианты обхода?
Будем надеяться что ваши пользователи не читают Хабр :-):
— Самый простой — выключить WiFi (кнопка или Fn+что-то на большинстве ноутбуков) и подключатся через RJ45 + TP-Link Nano Routeur 300 или аналог.
— Самый «хитрый» — возить с собой что-то вроде «Малинки» которая будет симулировать ваше любимое WiFi окружение в любой точке мира ;-)
— Soft/Hard решения позволяющие оставить ноутбук дома и пользоваться удаленным терминалом.
Спорное решение. У нас не европа где в любом месте можно подключиться к бесплатной вайфай сети, без пароля. По факту работает только для слежки где и когда работник включал ноут и подключался к сети . Ну и как доказательство, что именно он пользовался этим ноутом последним(вот эта функция хороша, но желательно б еще скидывать инфу под каким логином был выполнен вход.) Именно для поиска, нужно все таки ноут допиливать gsm передатчиком.
Спорное решение
Не без недостатков, как и любое другое.
подключиться к бесплатной вайфай сети
Кстати, навели на мысль. Интересно посмотреть, что wi-fi геосервисы знают о точках доступа в московском транспорте, например.
где и когда работник включал ноут и подключался к сети
Или укравшее ноутбук третье лицо. Или нашедший ноутбук после его потери сотрудником. Или третье лицо, которому сотрудник передал ноутбук добровольно.
Хочу в очередной раз отметить, кстати, что в статье прямо указано: описанный метод может помочь там, где другие методы по каким-то причинам не внедрены или не работают (в частности, нет чёткой, устойчивой, документально подтверждённой связки «ноутбук-сотрудник»). Никакие методы типа «и прислать ещё в этом же блоке данных фото с веб-камеры» и даже «прислать логин» к описанному методу геолокации по Wi-Fi не привязаны. То есть, имеет смысл говорить именно о геолокации устройства, при отсутствии чёткой идентификации личности, которая в данный момент ноутбуком пользуется.
желательно б еще скидывать инфу под каким логином был выполнен вход
Это можно смотреть другими инструментами – заббиксом каким-нибудь или даже встроенными средствами AD (а если такие инструменты не подключены, то и с геолокацией городить огород особого смысла нет, пожалуй).
нужно все таки ноут допиливать gsm передатчиком
Но стоимость решения при заданных условиях будет неподъёмной для небольших компаний.
Начнем с того что рабочий комп, это прежде всего домен, то-есть логин/пароль. Третье лицо упрется в это. Поэтому то и писал про бесплатный вайфай. К которому подключается ноут без входа в систему. Третье лицо упрется в авторизацию и пойдет переставлять систему. Как вариант, пойдет к знакомому, где тот ради интереса, ну а вдруг, произведет сброс пароля локального админа. Но это если интересно что есть на компе. И тут да, закладка может сработать. Но если не настолько тупы, то просто снесут систему. Сброс биоса все еще вроде не отменили?
Хотя ладно, как ответ на вопрос директора, "а где же наши ноуты и у кого сейчас тот который от того,к этому, а потом тому", сойдет. :) Кстати. я в свое время, до такого не дошел, хотя временами директор такие вопросы задавал, а денег не давал. Так что идея хороша. :)
В командировках не все пользуются впн. поэтому тот же АД, не сможет сказать кто входит. Только кто входил с последним подключением к домену.
Ещё можно наклеить на ноутбуки airtag метки.
Но соглашусь с другими комментаторами, сбор координат выглядит маслость аморально, даже если сотрудники в курсе и дали письменное согласие.
Ещё можно наклеить на ноутбуки airtag метки
Те, которые Apple airtag? У них странноватый функционал и много ограничений (самое большое – инфраструктура только Эппл)
сбор координат выглядит маслость аморально, даже если сотрудники в курсе и дали письменное согласие
Не могу понять, в чём проблема.
Работодатель и так примерно представляет, где тот или иной сотрудник. Точность описанного метода не очень высокая, так что он годится только в качестве дополнительной информации, для явного подтверждения или опровержения.
Если работники таскают рабочую технику туда, где ей не место – насколько это «морально»?
Опять же, интересно было бы посмотреть на «общественное» мнение, если бы благодаря этому методу нашли похищенного или пострадавшего человека, например, а не аморальных миш с машами.
Проблема в том, что не описанно нормального кейса, где это отслеживание нужно и этот кейс не решается куда более простыми средствами. Отсюда и подозрения, что это удовлетворение не здорового любопытства ИБ, которые хотят контролировать что надо и что не надо.
Давайте разбирать.
Мониторинг работает, только когда загружена ОС. Я надеюсь, у вас жёсткие диски ноутбуков зашифрованы (иначе потеря железа ноутбука - меньшее из зол), значит ОС может быть загружена только легитимным пользователем, кейс с кражей не годится.
Контроль сдачи оборудования при увольнении решается административными способами.
Если компании не нравится, что рабочий ноут возят на дачу на выходные, а там смотрят ютубчик, ну так никто не будет таскать с собой рабочий и личный ноутбук на дачу, но если есть шанс, что в выходные придётся поработать - очевидно, будет взят рабочий.
Поэтому, если не считать нездорового любопытства ИБ, мне в голову приходит только кейс, что вашего сотрудника могут похитить вместе с ноутбуком, провести терморектальный криптоанализ и войти в сеть компании для кражи секретов. И поэтому нужно геопозиционирование завести в SIEM, чтобы она отслеживала отклонения от паттернов поведения. Но если этот кейс актуален, лучше вообще не выпускать ноутбуки за физический контур предприятия
Мониторинг работает, только когда загружена ОС. Я надеюсь, у вас жёсткие диски ноутбуков зашифрованы (иначе потеря железа ноутбука — меньшее из зол), значит ОС может быть загружена только легитимным пользователем, кейс с кражей не годится.
Как я уже неоднократно отмечал в статье и комментариях, при жёсткой привязке (административной или технической) ноут-пользователь такая система может быть действительно лишней. Но есть масса кейсов «ноут нам нужен вотпрямщас презентация заказчик аврал бежать аааа», или ноуты в качестве «полутонких» клиентов для работы в корпоративном облаке и тп., когда на самом ноуте ничего важного не хранится, а ограниченный в правах профиль с автовходом чистится после выхода.
Опять же, загрузка ОС != вход пользователя.
Вообще, вы описываете идеальные отношения работодатель-работник. К сожалению, практика куда более сложна и запутана.
Бывают, например, совершенно волшебные кейсы, когда работник считает рабочий ноутбук личным, потому что (прямая цитата) «у меня же нет своего ноутбука». Всю остальную информацию такой кадр может просто игнорировать или даже считать личным оскорблением. А на предложение руководству расстаться с таким ценным кадром не-управленец услышит очень странные вещи, которые придётся долго осмысливать.
Или можно найти «потерянный», уже списанный бухгалтерией ноут. Пользователь сам его приносит и, нисколько не стесняясь, сообщает «ну я на нём играл и торренты качал, в постели валяяся. А чо?». Это не совсем про геолокацию, но очень показательно в плане реальных, а не формализованных кейсов.
Я как-то подобное делал через puppet+foreman и написанный модуль к сервису http://ip-api.com/json. Но это было в первую очередь для систематизации "где блин что у меня находится" т.к. с этим был небольшой бардак, точность нужна была город и ip (lat, lon там есть, но точность оставляет желать лучшего).
Зачем GPS-трекер, когда можно заказать ноут с модемом и aGPS? Большой плюс такого решения, что пользователь всегда будет на связи.
Геолокация офисных ноутбуков «своими руками»