- zorg voor harddisk encryptie zodat indien het notebook
fysiek wordt ontvreemd de daarop residerende gegevens
onbereikbaar blijven;
- zorg dat het notebook uitsluitend kan
netwerken/internetten d.m.v. een vpn-verbinding met het
centraal gecontroleerde bedrijfsnet;
- zorg dat de gebruiker geen andere rechten heeft dan die
als gebruiker op het gebruikte platform, en dus geen
instellingen en dergelijken kan wijzigen;
- zorg dat de gebruiker op geen enkele manier zelf software
kan installeren;
- zorg dat de gebruiker van geen andere media kan booten en
scherm biosinstellingen af.

Dan rest voor de gebruiker niet meer dan van het apparaat
gebruik te maken als waarvoor je deze aan hem hebt meegegeven.

Zorg voor een gebruikersovereenkomst (getekend en wel)
waarin het bovenstaande nog eens onderstreept wordt en dat
de laptop uitsluitend en alleen gebruikt mag worden voor
werkzaamheden.

Ter aanvulling

Lees ook deze paper eens: http://citp.princeton.edu.nyud.net/pub/coldboot.pdf

Het "laatste nieuwtje" rondom disk-encrytie. Houd er in elk geval rekening mee
en tref tegenmaatregelen zoals in de paper beschreven.
Reken er verder op dat niet alleen de genoemde encryptie-software kwetsbaar is, maar dat dit voor alle encryptie-software geldt. Dit omdat het eigenlijk een hardware-kwetsbaarheid betreft en eigenlijk niets met de software te maken heeft.

succes!

Wat is 'buitendienst'? Voor je het weet ga je als [url=http://en.wikipedia.org/wiki/BOFH]BOFH[/url] of erger door het leven...

Enkele tips (webpages en aanwijzingen Engels, sorry).

Notebook valt in slaap tijdens presentatie
Als de gebruikers presentaties moeten geven willen ze niet dat hun notebook in slaap valt. Hoe je gewone users toegang tot de "power options" kunt geven lees je [url=http://blogs.msdn.com/aaron_margosis/archive/2005/02/09/370263.aspx]hier[/url].
Meer tips voor non-admins vind je [url=http://nonadmin.editme.com/]hier[/url].

Verkeerde permissies na RunAs
Als je de user (om wat voor reden dan ook, zoals updaten van sommige programma's) toestaat om "RunAs" te gebruiken: MS heeft bij XP iets onhandigs gedaan (in NT4 en W2K speelt dit niet). Stel de user logt in als Piet en gebruikt RunAs om admin bent te worden, dan zullen alle objecten die hij als admin aanmaakt (zoals files, services, registry entries) een ACL krijgen waarop user Piet (i.p.v. de groep Administrators) 'Full Control' heeft. Gevolg: gewone Piet heeft ook full control (security risico) en 'andere' admins mogen er standaard niet bij (zucht). Fix staat [url=http://support.microsoft.com/kb/318825]hier[/url]. Overigens is de volgorde in die page niet helemaal juist, moet zijn:
2. In Control Panel, click Administrative Tools.
3. Click Performance and Maintenance, and then double-click Local Security Policy.
(Ik heb zojuist een opmerking op die page gesubmit dus misschien wordt het wel gefixed).

Schrijfrechten 'Users' in C: verwijderen
Zelf werk ik probleemloos zonder schrijfrechten in C: maar heb (naast de standaard profile dir natuuriijk) op z'n minst een geheel beschrijfbare D: drive tot m'n beschikking. Verwijderen van schrijfrechten op C: gaat door de volgende ACL's te verwijderen:
Users: Create Folders/Append Data (This folder and subfolders)
Users: Create Files/Write Data (Subfolders ondly)
Scheelt wildgroei aan mappen en naar-c:-schrijvende-malware doet het niet meer.

Ten slotte, wat is je backup-policy?

Bedankt voor je antwoord.
Alle opties kan ik toepassen.
Ga alleen op zoek naar een eventuele harddisk encryptie oplossing.

Bedankt voor de aanvuling, ik zal de informatie zeker door lezen.

Dag Bitwiper, kan helaas niet reageren met quote daarom antwoord ik maar
zo.

Bedankt voor je informatie, zeer waardevol.

Om antwoord te geven op je vragen:

Wat is 'buitendienst'? Op dit moment 1 persoon, die gebruik gaat maken van
Word, Excel, Adobe, Outlook via het Web en Internet.

Ik ga ervoor zorgen dat er een VPN SSL wordt opgebouwd, waardoor alleen de
webinterface van Outlook op te vragen is.
Via deze tunnel is het ook ALLEEN mogelijk om te internetten, hierdoor gaat al
het verkeer door onze beveiliging.

wat is je backup-policy?
Heb std image van de notebook waardoor ik snel kan herstellen.
Ik heb nog geen back-up policy voor de bestanden en zit te denken aan een
USB stick die wederom ook beveiligd is. Heb jij hier ervaring mee?

Ik hoor het graag

Weet iemand een referentie pagina betreft het uitschakelen van onnodige
services op een standalone Windows XP (SP2) systeem

Nee, ik zou zelf naar TrueCrypt kijken, maar ik ben bang voor filesystem schade als de gebruiker de USB stcik verwijdert zonder deze te 'unmounten'. Hebben anderen hier ervaring mee?

Ook i.v.m. verlies van sticks zou ik eerder naar een synchronisatie oplossing via je VPN kijken, maar ik weet niet hoe vaak je gebruikers online zijn en over welke welke snelheid ze dan beschikken (GPRS tot snelle ADSL).

[url=http://www.blackviper.com/]BlackViper[/url] had vroeger uitstekende informatie. Die site is een tijd uit de lucht geweest maar ik zag zojuist dat deze weer terug is. Of de info nog net zo goed is als vroeger weet ik niet.

Mijn eigen ervaring met het uitschakelen van services is dat dit vaak op onverwachte momenten tot problemen leidt. Advies: maak gebruik van hardware profiles, en hou altijd een "standaard" hardware profile achter de hand, bijv. voor het updaten van Windows (dat makkelijk te slopen is).

safeboot heeft goede enterprise oplossingen mbt encryptie,
usb beveiliging en andere zaken, maar als gratis gewenst is,
zou ik zeker truecrypt proberen als ik jou was.

Wat is er mis met de BOHF? Ik lach er iedere vrijdagmiddag weer erg hard om.

Denk wel aan een kopietje van de sleutel en een backup schema want kwijt is
kwijt.