Uniemożliwienie użytkownikowi instalowania / używania oprogramowania, które nie zostało zatwierdzone przez firmę, poprzez egzekwowanie zasad oprogramowania na komputerze pracowników, w połączeniu z uwierzytelnianiem sieciowym, takim jak tylko te maszyny zgodne z zasadami mogą uzyskać dostęp do sieci. To sprawia, że stacja robocza jest prawie prostą maszyną kiosk
. W branży finansowej i medycznej nie należy uważać za niewłaściwe narzucanie trybu kiosku pracownikom operacyjnym.
Brak możliwości uruchomienia oprogramowania, które może łączyć się z Torem, jest kluczem do uniemożliwienia użytkownikom korzystania z Tora, jeśli przeglądarka (np. cebula.to proxy) nie jest częścią zagrożenia. Ale normalnie miałbyś białą listę witryn dostępnych w chronionych środowiskach.
W prawdziwym świecie często koliduje to z potrzebami personelu IT. W większości firm wymagana jest zdolność IT, który niekoniecznie jest programistą / inżynierem oprogramowania , do uruchamiania dowolnego oprogramowania lub pisania niestandardowych skryptów. Dla dyskusji, załóżmy, że tak jest.
Oczywiście nie możesz uniemożliwić administratorowi systemu uruchamiania Tora, a także nie możesz zablokować jego maszyny w kiosku tylko dla tego „zagrożenia”, w przeciwnym razie zapobiegniesz nadzwyczajnym działaniom poza procesem, takim jak naprawianie problemów z maszynami lub siecią. W takim przypadku zalecałbym zastosowanie takiej zasady, że komputery z systemem administracyjnym z uprzywilejowaną konfiguracją oprogramowania są zwykle podłączone do niewrażliwej sieci, a ostatecznie do Internetu. Jeśli administrator potrzebuje dostępu do poufnej sieci, w której przechowywane są chronione informacje, powinien fizycznie podłączyć swój laptop do innej wtyczki i zarejestrować zdarzenie w ścieżce audytu. Taki audyt może być również zakończony komentarzem do zgłoszenia do pomocy technicznej „Uzyskuję dostęp do maszyny 10.100.200.10
w celu wykonania zadania”.
Krótko mówiąc, uniemożliwienie komukolwiek używania Tora jest surowym wymogiem, który jest trudny do wyegzekwowania, jednak rozsądna reinterpretacja wymagania powinna zadowalać każdy regulator, przyjmując zasadę bezpieczeństwa, że użytkownicy musi być w stanie uruchomić tylko najmniejszy zestaw programów, aby wypełniać swoje obowiązki (odmiana zasady najmniejszych minimalnych uprawnień).
A poza tym Tor sam w sobie nie stanowi zagrożenia, jest medium, które może być nadużywane przez osoby korzystające z informacji poufnych lub innych niewiernych pracowników lub stanowić zagrożenie dla istniejących nieprzeszkolonych pracowników.