作为一个学区的技术领导者,我们都曾接到过令人不安的电话,让我们去取员工的电脑,以便立即采取行动。在大多数情况下,它是这并不是被间谍软件和恶意软件攻克的技术。相反,它是一名学区工作人员,失败了该技术,导致它被收集以获得证据。你做什么工作?
需要采取的步骤
在我作为技术总监的保单中,我遇到了至少七到八个举例,校园技术必须被没收,并且由于技术使用不当而终止。区域系统中的账户必须冻结,密码更改,或者,天堂禁止,删除。在其他情况下,必须将谷歌电子邮件帐户委托给另一个审查。技术领导者应采取哪些步骤保护该地区及其资产?
当然(例如,在工作人员电脑上出现色情内容的情况下),我提醒各学区不要指望技术部门扮演数字取证的角色。这确保了技术部门的工作人员,尽管他们通常是善意的,不会无意中销毁证据。较大的地区有专门从事计算机取证的内部警察侦探,而在较小的地区,有一种推动让一名地区官员接受数字取证培训的做法。只需要一群学生发起一次分布式拒绝服务(DDOS/DOS)攻击,或者工作人员使用了不恰当的技术,就可以使这成为一项有价值的投资。
我监督的一些步骤包括:
- 要求由主管和/或人力资源领导人员提交和授权投诉表。如果校长有投诉,我立即将它们转到人力资源。我解释了技术部门可以在人力资源涉及之前不采取任何行动。这可以防止若干问题稍后通过剥夺证据收集过程。与此同时,我建议没收受影响的设备。
- 进行数字证据搜索。同样,计算机取证不是要轻描淡写的东西。但是还有其他事情可以在不影响证据的情况下完成,例如对互联网日志的详细搜索,看看单个用户已达到什么。当然,所有具有虚拟专用网络(VPN)的用户或所有设备的私人Internet访问(PIA)或浏览VPN在移动设备上(这里提一下我用过的两个,但这不是一个认可)可以防止窥探。
- 将机密调查结果提交给相关人员,然后按照指示采取行动。
数字证据搜索
下面,您将找到我在前一所学区使用的数字证据搜索表格。它是从许多人调整的,你可以在网上找到。这是这一点Google文档版本。
数码取证申请
使用方法:由人力资源部完成此表格的第一节,然后交给技术部完成。
第一节:关于用户
(由人力资源工作人员完成)
| Active Directory(广告)用户名: ___________________________________ |
需要评估的地区设备: __desktop计算机(Win / Mac) __laptop计算机(Win / Mac) __Bablet(iPad / Android) 移动设备/外部USB存储 |
请求的操作授权 : __________________________
收回已发放的地区设备
调查计算机存储的可疑(如攻击性的,明确的,图形)内容
__审查互联网日志可疑的网站流量和/或内容
__suspend帐户(圆圈:电子邮件|等级簿|PD跟踪器|计算机登录/广告)
__Change Google Apps密码/新密码:__________________________
__Change计算机登录/广告/ PD跟踪器密码
修改Web内容管理系统密码
__Delegate电子邮件账户 _________________________ ( 指定地区的员工)
请求完成日期/时间:____________________________
第二节:数字证据发现
(由技术部门工作人员完成)
技术部门采取的行动
(将尽一切努力保护证据不受污染)
__internet日志审核__internet浏览器搜索和分析
__硬盘搜索和分析句意:复制了计算机硬盘驱动器
__文件复制到光盘(CD)__i部分要求的暂停账户
__反恶意软件验证为最新__Review Computer Registry and/or Preferences
__检查安装在设备上的软件/应用程序,以确保其适当性和合法状态
__Requested授权的行为 :____________________________ / 完成(见上图)
笔记:
第三节:调查结果
- 由负责任使用协议(RUA)和地区政策/程序定义的内容是不合适的内容,位于任何用户的设备上?(圆圈:是的不 )
- 详细描述在下列空间发现了哪些不恰当的内容,包括网站、图片、视频、文档、未经授权的软件等:
| 数字证据来源: | 描述 |
| 设备存储 | |
| Internet日志,包括网站和IP地址 | |
| 图片 | |
| 视频 | |
| 文件 | |
| 计算机注册表,偏好,图书馆 | |
| 隐藏资料(例如擦除硬碟、加密资料、隐写术) |
推荐
__没有可疑内容被发现。
__传送进一步的数字取证调查调查
__其他: _________________________________________________________________________________
- 此表格的何时和向谁提交人力资源:
谁:____________________________日期和时间 :______________________________
结论
如果你曾接到地区领导打来的电话,说有一位职员在数位方面表现不良,你会采取什么步骤?请在下面的评论部分分享你的经验。
更新:此博客条目已在4/23/2018中为VPN的新鲜链接进行了更新。
