Most jött el az idő a munkaállomások bevonására a központi naplógyűjtő-és elemző rendszerekbe?

Amennyiben a vállalatnak a nagy hirtelenséggel tömegessé váló távmunka hatására nem sikerült a felhasználókat teljes mértékben a vállalati védvonalakon belül tartani – bármely always-on jellegű VPN megoldás bevezetésével -, a válasz számunkra egyértelmű, igen.

A munkaállomások integrálása a központi naplógyűjtő és elemző (az egyszerűség kedvéért a továbbiakban SIEM) rendszerekbe tapasztalatunk szerint csak a legritkább esetben – pl. egy, a munkaállomáson futó célalkalmazás kikapcsolását szerette volna nyomon követni a vállalat – történt meg, melynek a főbb okai az alábbiak voltak:

 • A vállalati domain környezetben munkát végző felhasználók nyomai, így a naplózandó események a domain kiszolgálókon, a központilag menedzselt szoftverek menedzsment konzoljain, hálózati alkalmazások adatbázisaiban és alkalmazás naplóiban, vagy a vállalati átjárókon nyomon követhetőek voltak,
 • A SIEM termékek licenc politikája általában a feldolgozott eseményszámhoz – EPS, adatbázis méret, napi logmennyiség, stb. – köthető, így egy költség-haszon elemzésen is könnyen elbukott a bevonás,
 • A hazai felügyeleti szervek (MNB, NEIH, ÁSZ, stb.) és a tanúsítással foglalkozó szervezetek (Hunquard, ISO27001 tanúsító szervezetek, stb.) sem követelik meg explicit a munkaállomások bevonását, kockázatarányos megközelítést javasolnak, mely az első pont alapján szintén a munkaállomások kihagyásához vezethetett.

A fenti kockázatértékelést viszont, véleményünk szerint, jelen helyzetben felül kell vizsgálni, figyelemmel arra, hogy a vállalat milyen módszerrel tudta biztosítani a hirtelen és tömeges távmunka bevezetését:

 • Sikerült-e a korábban említett, always-on jellegű VPN megoldást bevezetni,
 • Kizárólag vállalati, hardeningelt munkaállomásokon és VPN-en keresztül elérhető vállalati alkalmazásokkal folyik a munkavégzés, de a VPN kapcsolat kiépítése már csak manuálisan és esetlegesen történik meg a felhasználók által,
 • Kizárólag vállalati, hardeningelt munkaállomásokon, de a vállalati infrastruktúrát már egyre nagyobb számban elhagyó, felhő alkalmazásokkal támogatott a munkavégzés,
 • A munkaállomások hardeningjére nem volt idő, valamint a végpontvédelmi megoldások integrációja nem, vagy csak részben történt meg,
 • A hirtelen jött változások a vállalat BYOD politikájának lazulásához vezettek, és a munkavégzés saját munkaállomáson is engedélyezett.

Amennyiben a kockázatértékelés alapján a bevonásról születik döntés, javasoljuk legalább az alábbi események bevonásának megfontolását és a megfelelő riportok, riasztások kialakítását. Természetesen a naplózandó események köre függ attól, hogy a munkaállomáson mi engedélyezett az érvényes hardening beállítások mellett.

 • Legalább 5 sikertelen bejelentkezési kísérlet (bármilyen okból) a munkaállomáson 10 percen belül,
 • Szoftver/alkalmazás (msi csomag) telepítése,
 • Alkalmazások (Windows szolgáltatás) indítása és leállítása, különös figyelemmel, ha van kötelezően futtatandó alkalmazás (pl. time tracking, hangrögzítés, stb.)
 • LOGNESS Windsender, vagy bármilyen egyéb, a naplótovábbításért felelős alkalmazás leállítása a munkaállomáson,
 • Naplózási szolgáltatás (eventlog service) leállítása a munkaállomáson,
 • Felhasználói fiók létrehozása, törlése, zárolása,
 • Vírusvédelmi szoftver leállítása a munkaállomáson,
 • Vírusvédelmi szoftver eredménytelen műveletet hajt végre a munkaállomáson,
 • Remote Desktop alkalmazások használata munkaállomáson,
 • Felhasználó USB adathordozót csatlakoztat,
 • Rendszeridő megváltoztatása a munkaállomáson,
 • Audit policy megváltoztatása a mnnkaállomáson.

A bevonás során javasoljuk, hogy az alábbiak tekintetében különös körültekintéssel járjatok el:

 • A munkaállomásokra külön audit beállítások (külön GPO) alkalmazása javasolt, így csökkenthető a naplók számossága, a munkaállomás erőforrásainak igénybe vétele, valamint a VPN-re való csatlakozás időtartama alatt átküldhetők lesznek a gyűjtött naplók,
 • Javasoljuk az agentek GPO-ból történő telepítését és konfigurálását, valamint az agentek leállíthatóságának korlátozását, az audit leállításának és a biztonsági naplók törlésének tiltását („normál” munkaállomás hardening)
 • Agentek számára megfelelő puffer méret meghatározását, lehetőség szerint fájl puffer, mely összhangban van a felhasználók VPN szokásaival. Szükséges lehet a VPN-re történő kötelező napi csatlakozás előírása, mert a nagy tömegben felgyűlt naplók beküldése jelentős mértékben lassíthatja le a munkaállomást a jelentős CPU terhelés miatt,
 • Szükséges a riasztási is riportolási szabályok meghatározása,
 • Szükséges a munkaállomás privát használatának felülvizsgálata, figyelemmel az alábbi jogi szekcióban leírtakra.

Zárásul olvassátok el a munkaállomások bevonásával kapcsolatos jogi kitekintésünket:

 • A munkavállalók saját, munkavégzés céljára is használt eszközeire a naplógyűjtés álláspontunk szerint nem terjeszthető ki, mivel a privát és munkahelyi naplók elválasztása csak nagyon speciális esetében – pl. munkát kizárólag egy lokálisan futtatott virtuális gépen végez, és kizárólag ennek a naplói kerülnek átküldésre – lehetséges,
 • Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.
 • Amennyiben a privát használat nincs tiltva a vállalat által kiadott munkaállomásokon, a naplózást csak a vállalati policy-vel összhangban, szűk körben – pl. csak munkaidőben, ha munkaidőben a privát használat nem engedélyezett
 • Engedélyezett, bár ennek technikai megvalósíthatósága több, mint kérdéses,
 • A kizárólag munkavégzésre használható céges munkaállomások esetében is alapszabály, hogy a naplózás nem irányulhat a munkavállalók munkavégzésének megfigyelésére, a vállalati jogos érdek kizárólag a munkavállalók szigorúan célhoz kötött, ahhoz feltétlenül szükséges ellenőrzését alapozhatja meg álláspontunk szerint,
 • A munkáltatónak a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját,
 • Mint más munkáltatói ellenőrzéseknél is, a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ennek megfelelően a munkáltatónak el kell végeznie az érdekmérlegelés tesztjét a rendszer bevezetése előtt,
 • Ne feledkezzen meg senki a munkavállalók előzetes tájékoztatásáról az új adatkezelés tekintetében, mely legalább kiterjed:
  • hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az ellenőrzésre,
  • milyen szabályok szerint kerül sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, ki fér hozzá a naplókhoz, riportokhoz,
  • milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak a „céges laptop” ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

kép: varonis.com