Кэшируемая безопасность режима Exchange

Вам может показаться, что это немного радикально (хотя вам и не следует), но я видел использованное решение - полное шифрование диска на всех рабочих станциях ( настольные и портативные компьютеры), интегрированный в процесс входа в Windows. (Это может быть полезно / необходимо в соответствии с вашими правилами безопасности в любом случае для файлов, помимо электронной почты Outlook.)

Если устройство удалено из сети и не может успешно пройти аутентификацию в сети как на уровне компьютера, так и на уровне пользователя, существует нет доступа к незашифрованным данным - поэтому, даже если электронная почта Outlook / Exchange была кэширована локально в файле * .ost, к ней нельзя было бы получить доступ.

Одна реализация, с которой я был знаком, по сути, просто защищала загрузку Windows процесс. IE, все было зашифровано, но не было другого запроса на ввод учетных данных для пользователя, кроме обычного экрана входа в Windows. Если вам не удалось успешно войти в домен, значит доступ к данным на компьютере отсутствует. Попытка использовать альтернативное загрузочное устройство и т. Д. Не дала бы ничего, кроме зашифрованного диска.

Кто-нибудь знаком с любыми возможными способами отслеживания этого или смягчения риск?

Как и в любой среде, где под вопросом физическая безопасность машин, используйте FDE и требуйте, чтобы сотрудники выключали свои рабочие станции, когда они уходят на день. Похоже, вы магазин Windows, поэтому вы, вероятно, захотите изучить Bitlocker. Он хорошо интегрируется с Active Directory, позволяя хранить ключи восстановления в AD.

Если ваши требования к безопасности столь строги, как вы их себе представляете, FDE - это то, с чем вам, вероятно, все равно следовало бы разобраться.