Итак, мы (офисные повелители и техно-шаманы) хотим знать, где наши кровные, корпоративные ноутбуки. Где они вот сейчас. И где были вчера.

Зачем? Что за вопрос!

Ноутбуки выдаются на руки. Они мобильны, в этом их суть. Выдаются они под роспись... или нет? Культура обязательного бумажного учёта может быть не внедрена, заброшена, или предоставляемые данные вызывают сомнения. Но даже имея данные "с кого спрашивать", хорошо иметь и данные "где искать". Никто не отменял уволившихся "одним запойным днём" сотрудников, забывчивых сотрудников, воровство третьими лицами и много чего ещё. Даже если мобильный хост имеет постоянное и обязательное для эксплуатации подключение к серверу компании, а сотрудник авторизуется индивидуальным цифровым ключом, вопрос "где" по-прежнему актуален.

Значит, надо. Но как? Идеальный вариант: когда ноутбук всё делает сам. Желательно — независимо от включения, и данные передаёт на сервер организации. К сожалению или к счастью, вариант этот весьма экзотический и встречается очень редко. И стоит, как чугунный мост. Давайте кратко вспомним, с помощью каких данных вообще можно установить местонахождение объекта:

  1. Спутниковые системы навигации.

Всё.

Все остальные существующие ныне цифровые способы определения местоположения являются, по сути, побочным продуктом совсем иных технологий. Эти способы использовать можно, но они требуют дополнительных действий и инструментов, а также имеют более низкую точность.

То есть, воткнём куда-нибудь в корпус ноута GPS-трекер для скота от братского китайского народа, и проблема решена? Нет, конечно. Во-первых, нужно обеспечить модуль энергией для работы. Можно использовать:

  • аккумулятор ноутбука (вмешавшись в системы и нарушив гарантию, и подписавшись на риск глубокого разряда) или

  • отдельный аккумулятор (который надо как-то заряжать).

Во-вторых, данные нужно передавать. Это значит, что:

  • модуль должен быть виден в системе (опять же вмешательство в конструкцию ноутбука, и в этом случае данные будут поступать только от включённого хоста) или

  • иметь собственный канал (вероятнее всего, сотовую связь, за которую надо платить и модуль которой в пике жрёт пару ампер, что возвращает нас к вопросу энергообеспечения).

В-третьих, спутниковые системы не работают сквозь крыши и вообще закрытые помещения (так что большую часть данных от такого модуля мы не получим — он просто "не найдётся", если не будет иметь дополнительных источников данных о местоположении).

Рассмотрим дополнительные источники данных:

  • корректировочные данные наземных станций систем спутниковой навигации;

  • определение местоположения по силе сигнала базовых станций сотовой связи;

  • определение местоположения по силе сигнала точек доступа Wi-Fi;

  • определение местоположения по доступным маячкам Bluetooth (та ещё экзотика);

  • геолокация по IP-адресу;

  • иная экзотика типа RFID меток

Понятно, что нужна база данных. Которую кто-то собрал и актуализирует. То есть, опять расходы.

Рассмотрим решение максимально простое, дешёвое и быстрое.
Условия:

  • данные передаёт только включённый ноутбук с загруженной ОС

  • используем только имеющиеся ресурсы и оборудование

Будем использовать геолокацию по видимым точкам доступа Wi-Fi. Есть вот такие варианты: https://en.wikipedia.org/wiki/Wi-Fi_positioning_system#Public_Wi-Fi_location_databases,
а также сервисы Google, Yandex, Mozilla и внезапно встроенный в Windows начиная 7 сервис от Microsoft.

Алгоритм действий:

  1. В фоновом режиме и до входа пользователя получим данные. Это могут быть как сырые данные о сети, так и готовый результат работы одной из систем геолокации;

  2. Отсылаем данные на наш сервер, кладём в базу данных.

Разберём первый пункт. Лично мне решение "иметь сырые данные" видится более надёжным. Под Windows это можно сделать даже при помощи cmd:

netsh wlan show all

или

netsh wlan show networks mode=bssid

Результат придётся пропарсить , а для надёжности — предварительно включить все имеющиеся беспроводные адаптеры (код грубый, но найти решение на чём-нибудь вроде Powershell мне найти не удалось — везде используется netsh).

Под Ubuntu это будет что-то вроде
nmcli dev wifi

В целом, ничего сложного.

Теперь пункт 2 — данные нужно передать. Тут ориентируемся на уже имеющиеся возможности: можно и на Zabbix в виде "сырой строки" (под Windows могут быть проблемы с кодировками, как всегда), на самописный сервер, даже на специальную почту. Конкретику описывать не будем, исходя из принципа security through obscurity.

Осталось конвертировать данные о сетях в координаты, а в идеале — и в адрес. Что касается адреса, тут всё просто и бесплатно: проект https://www.openstreetmap.org делает "обратный" перевод координат в адрес и возвращает результат в формате json, запрос вроде:

https://nominatim.openstreetmap.org/reverse?lat=x&lon=y&zoom=z&addressdetails=1&format=json

В зависимости от точности координат и района результат может быть разным по содержанию (только район, или не будет номера дома, или что-то ещё).

С конвертацией данных о видимых точках доступа Wi-Fi в координаты сложнее. Большинство сервисов является платными для коммерческого использования. Самый адекватный из явно разрешённых для коммерческого использования вариант: 100 запросов в сутки и ссылка на проект https://unwiredlabs.com/pricing. Якобы свободный сервис от Mozilla, на который я возлагал большие надежды, открыт только для пополнения. Сервис от Яндекса "Локатор", насколько мне удалось разобраться, не имеет на данный момент объявленной цены для коммерческого использования https://yandex.ru/legal/locator_api и предоставялется по принципу "свободный, как есть, для всех", но это не точно.

Конвертация, к примеру, для сервиса Яндекса, проходит через посылку файла с данными в формате JSON через POST:
wget --post-file=data.txt http://api.lbs.yandex.net/geolocation

В ответе получаем координаты. Точные или примерные, если данных недостаточно. Во втором случае, как я понимаю, используется "геолокация по IP"

причём

возможно, по IP, с которого отправлен запрос. Т.е. если делать запрос с сервера, получим координаты нашего сервера. А если с клиента, подключённого через мобильный интернет, то и вообще другой регион запросто

с точностью до города или хуже.

Остаётся малость — визуальное представление. Если есть сервер Zabbix, можно показывать ноутбуки на карте прямо внутри интерфейса. У меня было готовое решение на Leaflet, которое можно быстро адаптировать:

Также не поленился и сделал прокручиваемую историю местоположений каждого ноутбука:

Особенный повод для гордости — "больной сотрудник" отдыхает за границей с офисным ноутбуком
Особенный повод для гордости — "больной сотрудник" отдыхает за границей с офисным ноутбуком

В целом, на самом простом уровне задача реализуется доступно любому грамотному сисадмину.

P.S. Приношу свои извинения за изменение опроса "пост-фактум". Первоначальный вариант был слишком общим. Будем считать, что до сего момента отвечали только сисадмины.

Комментарии (42)


  1. Filmaniko
    22.09.2021 13:46

    Хм... неплохо.. Плюсую


    1. LevOrdabesov Автор
      22.09.2021 13:48

      Благодарю.


  1. Amikko
    22.09.2021 14:06
    -6

    Угу, щас.

    Я, получив корпоративный ноут, сразу же снёс дефолтную систему, отформатировал винчестер и поставил новую систему и ПО в соответствии со своими предпочтениями.


    1. LevOrdabesov Автор
      22.09.2021 14:17
      +2

      Нну, если в вашей организации такое возможно, то вариант из статьи, конечно, не сработает.
      Пожалуй, если ноутбуки жёстко закреплены за конкретным сотрудником, нет текучки, хорошо налажена система учёта, с ноутбука с «предпочтениями» не осуществляется прямой доступ к сколь-нибудь значимой информации (к примеру, только через облако-воркспейс с хорошо прописанными правами), на геолокацию действительно можно не заморачиваться.
      Если у вас именно такая компания, то за вас можно только порадоваться.

      Кстати, у меня есть подозрения, что похожую систему на некоторых моделях ноутбуков можно реализовать прямо в UEFI. Интересно, разрешат ли где-нибудь работникам менять UEFI на корпоративных ноутах на дефолтное…


    1. Fasterpast
      22.09.2021 21:10
      +1

      Полностью зависит от того, как и на каких условиях на работе выдаются ноутбуки. Есть вариант, когда ноут покупается за средства компании, но передается в 100% личное пользование сотрудника до дня его увольнения или попросту дарится. Что и как он с ним будет делать - его забота. С одной стороны, человек бережнее относится к своей вещи, а с другой - всяческие запароливания и системы слежения неприменимы да и ненужны, согласен. Но бывают и другие случаи, когда ноуты берут разные сотрудники в разное время. Скажем, "Иван приболел/улетел в командировку, Ивану нужен рабочий ноут на пару недель. В него загружается перемещаемый профиль или там банально "rdp с впнкой". Иван попользовался и вернул. Или забыл вернуть. Или передал сотруднице Наташе, но забыл отчитаться. И тут уже подобные средства весьма полезны.


    1. mobileha
      26.09.2021 21:41

      Один из вариантов - использование mobile device management, например, Microsoft Intune.

      И пока вы не поставите intune, он не проверит вашу машину, не поставит кучу необходимого софта (антивирус, патчи и т.п.) - вы просто не сможете подключиться к корпоративной сети и нормально работать.

      По факту - переставить можно, но итоговое окружение все равно будет такое же как корпоративное.


      1. LevOrdabesov Автор
        27.09.2021 12:15

        В любой сколь-нибудь приличной в плане IT компании внедрено что-то подобное. Я не знаю, где топикстартер взял такой кейс, когда с корпоративного ноута можно всё снести.


  1. iiwabor
    22.09.2021 14:20
    +1

    Я, когда прочитал фразу "GPS-трекер для скота", подумал - как оригинально они называют пользователей корпоративных ноутбуков)


    1. LevOrdabesov Автор
      22.09.2021 14:21

      У меня была мысль добавить в статью указание на то, что это сарказм-шутка и автор статьи против офисных работников ничего не имеет. Вот, указываю )


  1. Airrr
    22.09.2021 14:28
    -2

    Такое мерзкое проявление недоверия к сотрудникам ничего хорошего не принесёт в плане продуктивности и здоровья коллектива. Это работает почти как 3-й закон Ньютона.


    1. LevOrdabesov Автор
      22.09.2021 14:41
      +1

      В конкретном случае идея появилась после ноутбуков, забытых в аэропорту, в гостиницах. Бывают такие сотрудники — забывчивые.
      Речь, в общем-то, прежде всего идёт о местоположении ноутбуков, а не сотрудников.
      Есть и организации, которые спокойно могут выдать новый ноут со склада и не париться. Но далеко не все могут это себе позволить.
      Ту же текучку кадров в определённые, гхм, геополитико-экономические периоды в некоторых относительно развитых странах, никто не отменял. Я со своим сугубо техническим инструментарием на эти процессы и хотел бы влиять, да что-то не получается пока (
      А если организация большая, с десятками тысяч человек, то, скорее всего, такие системы там внедрены, и на более серьёзном уровне.


      1. sourbarberry
        22.09.2021 14:53

        о местоположении ноутбуков, а не сотрудников

        А это не одно и тоже? Ноутбук, чаще всего находится там же, где и сотрудник

        Вообще, прежде чем пилить такую систему, я бы задался вопросом, а зачем знать где находится ноутбук? Что даст это знание?
        Если компания переживает за сохранность техники, то ее нужно выдавать под роспись конкретному сотруднику, с фиксацией даты получения и возврата. В таком случае бухгалтерия видит, что ноутбук А находится у Васи П. и проблема с поиском потерянного ноутбука будет его головной болью.

        В вашем случае я не очень понимаю, как знание о местонахождении ноутбука поможет, если его забыли в аэропорту, или если Вася П. уволился и не хочет его отдавать. У вас есть отряд особого назначения, который будет штурмовать жилище Васи и силой забирать имущество? Или имеет доступ во все помещения во всех аэропортах мира?

        Еще остается открытым вопрос, как слежка за местоположением сотрудника соотносится с законодательством.


        1. LevOrdabesov Автор
          22.09.2021 15:05

          На часть вопросов уже есть ответы в статье и других комментариях.

          как знание о местонахождении ноутбука поможет, если его забыли в аэропорту

          Если ноут забыл, сотрудник может быть вообще ещё не в курсе. Звоним сотруднику или в спец-службу аэропорта или гостиницы, не теряем технику. Мне думалось, это очевидно.

          или если Вася П. уволился и не хочет его отдавать

          Я вам больше скажу, наш Василий может его уже и продать. Для таких событий есть не личный штурмовой отряд, а соответствующие гос. органы. Опять же, это довольно очевидно.

          как слежка за местоположением сотрудника соотносится с законодательством

          Это сильно зависит от конкретных соглашений между работником и работодателем, а также от построенного делопроизводства внутри организации. Думаю, что вариант «ноутбук записан за определённым пользователем» (и эта система работает в организации чётко) будет при прочих равных сильно отличаться с т.з. законодательства от «вот возьми там в куче ноут нам всем некогда потому что мы делаем работу за троих потому что опять кризис».


  1. Albedo039
    22.09.2021 17:26
    +2

    А вот, например, Миша после работы пошел в гости к Маше, с ноутбуком.

    А Петя, муж Маши, в командировке в другом городе. А вы все это видите и решаете немного пошантажировать Машу.

    Вы уверены, что вот это вот все, законно? У суда спрашивали разрешение на слежку или кто-то еще дал? Посадят ли вас всех за это, тоже хороший вопрос.


    1. LevOrdabesov Автор
      22.09.2021 17:41
      +1

      Миша после работы пошел в гости к Маше, с ноутбуком

      Полагаю, что это целиком и полностью проблемы Миши. Точно так же, как если бы он поехал к Маше на служебном авто. Не говоря уже о том, что служебный ноутбук для того и служебный, чтобы на нём работать. Если Миша и Маша там увлечённо кодят, работодатель будет только за, я уверен.

      А Петя, муж Маши, в командировке в другом городе. А вы все это видите и решаете немного пошантажировать Машу

      Не уверен, что познания работодателя должны простираться столь далеко, чтобы такую цепочку реализовать. Наличие конкретного сотрудника со злым умыслом, конечно, исключать нельзя. Я тоже был бы рад, если бы злых умыслов было меньше, уверяю вас.

      Что касается «посадят», то: конкретно шантаж — наказуемое деяние, но обсуждение вопроса однозначно выходит за рамки статьи. Что касается геолокации устройств: такого запрета нет и в ближайшие годы не появится — лобби техно-гигантов не даст.


      1. GospodinKolhoznik
        23.09.2021 22:32

        это целиком и полностью проблемы Миши

        И ваши тоже. Миша имел все основания полагать, что останется у Маши на ночь, и не на одну, следовательно ему придется работать от Маши. Плюс к нему в любой момент может позвонить насяльника, попросить что то там быстро сделать за пол часика- полюбому, и Мише необходим ноутбук для того, чтобы быть готовым всегда оказать свои профессиональные услуги организации. А организация за ним шпионит и тем самым вмешивается в его личную жизнь.

        А ещё это проблема Маши. Маша у вас не работает, и она за вмешательство вашей организации в свою личную жизнь может и в суд пойти.

        А вот что будет, когда суд расценит, что после того, как вы путем установки на ноутбук определенного ПО превратили его в электронно-цифровое устройство, осуществляющее следящую деятельность, это уже совсем другая история!


        1. LevOrdabesov Автор
          23.09.2021 23:18
          +1

          Учитывая, насколько легко в этой ветке комментариев очевидная нечистоплотность миш и маш переваливается на их работодателей, а также легкость, с которой комментаторы цитируют и толкуют законодательство, предсказывают решения судов и рассказывают другие истории, очевидно, что проблема действительно есть.
          Однако источник этой проблемы далеко не в описанной в статье технологии.

          От себя могу лишь добавить, что желаю всем рабочим коллективам полного отсутствия таких миш и маш.


        1. Maccimo
          24.09.2021 11:40
          +1

          Если Маша у нас не работает, то о её существовании вообще и горячей любви к уехавшему в командировку мужу в частности мы даже не узнаем. Ваш пример высосан из пальца и натянут на глобус.


  1. AstorS1
    22.09.2021 21:12
    +1

    Предположу, что рассматриваемый процесс, скорее, находится в этической плоскости, чем в области формальных отношений работника и работодателя. Думаю, что возможность такого контроля должна быть понятна обеим сторонам и не осуществляться скрытно от пользователя.

    Для меня, как работника и представителя раработодателяля своего коллектива, более полезным будет, например, возможность дистанционного обнуление информации с утерянного ноутбука при подключении к сети.


    1. LevOrdabesov Автор
      22.09.2021 21:17

      Предположу, что рассматриваемый процесс, скорее, находится в этической плоскости, чем в области формальных отношений работника и работодателя


      Полностью согласен. Работник и работодатель часто проводят больше времени «вместе», чем в своих семьях (что грустно, но имеет место быть). Если между ними нет некоторой степени доверия, им, пожалуй, стоит расходиться.

      возможность такого контроля должна быть понятна обеим сторонам и не осуществляться скрытно от пользователя

      Совершенно верно.

      возможность дистанционного обнуление информации с утерянного ноутбука при подключении к сети

      Интересная мысль. Попробую реализовать, как будет свободный хост.


  1. Plovchik
    23.09.2021 08:24
    +1

    Интересная статья. Спасибо.

    Работаю в крупной компании с 1000 + сотрудниками. Офисы есть как в столице так и в разных городах страны. Если для мелких фирм на около 50-100 сотрудников такая фишка кажется бессмысленной, то нам она очень даже пригодится. Случаи бывают разные, в региональном офисе срочно уволили сотрудника за его косяк, приняли нового. Новому срочно сказали учетку создать, а документами ответственность за ноут забыли переоформить. По учету ноут за уволенным, по факту пользуется новый сотрудник. Со временем и нового увольняют, ноут пропадает из сети и найти сложно. И таких случаев может быть несколько в разных городах. Поэтому такая фишка очень может быть полезна


    1. LevOrdabesov Автор
      23.09.2021 11:31

      Спасибо и вам за отзыв!


  1. tbp2k5
    23.09.2021 10:16

    Может в РФ это тоже так-же?: в Европе где я нахожусь такой уровень слежки в общем случае незаконен, а в тех случаях где он разрешен то пользователь должен обязательно знать, что за ним следят и как следят. Обойти такую слежку зная о ее наличии совсем не сложно.


    1. LevOrdabesov Автор
      23.09.2021 11:27

      Ну, как минимум, в статье нигде не указано, что этот способ скрытый. Детали реализации – да, имеет смысл скрывать.

      Обойти такую слежку зная о ее наличии совсем не сложно

      Предложите варианты обхода? Предполагается, что у пользователя доступ к ноутбуку на уровне пользователя, не администратора. Возможность «накатить систему как хочется» из соседнего комментария тоже недоступна.


      1. tbp2k5
        23.09.2021 17:37
        +1

        Предложите варианты обхода?

        Будем надеяться что ваши пользователи не читают Хабр :-):
        — Самый простой — выключить WiFi (кнопка или Fn+что-то на большинстве ноутбуков) и подключатся через RJ45 + TP-Link Nano Routeur 300 или аналог.
        — Самый «хитрый» — возить с собой что-то вроде «Малинки» которая будет симулировать ваше любимое WiFi окружение в любой точке мира ;-)
        — Soft/Hard решения позволяющие оставить ноутбук дома и пользоваться удаленным терминалом.


        1. LevOrdabesov Автор
          23.09.2021 18:09

          Видимо, со средним офисным пользователем вы дела не имели )
          Я был бы счастлив, честное слово, если бы средний пользователь вообще понимал, о чём здесь

          подключатся через RJ45 + TP-Link Nano Routeur 300 или аналог

          идёт речь.


        1. Buharovsky
          05.10.2021 14:55

          У некоторых моделей вообще железная кнопка отключения вайфай


  1. golge
    24.09.2021 16:29

    Спорное решение. У нас не европа где в любом месте можно подключиться к бесплатной вайфай сети, без пароля. По факту работает только для слежки где и когда работник включал ноут и подключался к сети . Ну и как доказательство, что именно он пользовался этим ноутом последним(вот эта функция хороша, но желательно б еще скидывать инфу под каким логином был выполнен вход.) Именно для поиска, нужно все таки ноут допиливать gsm передатчиком.


    1. LevOrdabesov Автор
      24.09.2021 16:41

      Спорное решение

      Не без недостатков, как и любое другое.

      подключиться к бесплатной вайфай сети

      Кстати, навели на мысль. Интересно посмотреть, что wi-fi геосервисы знают о точках доступа в московском транспорте, например.

      где и когда работник включал ноут и подключался к сети

      Или укравшее ноутбук третье лицо. Или нашедший ноутбук после его потери сотрудником. Или третье лицо, которому сотрудник передал ноутбук добровольно.

      Хочу в очередной раз отметить, кстати, что в статье прямо указано: описанный метод может помочь там, где другие методы по каким-то причинам не внедрены или не работают (в частности, нет чёткой, устойчивой, документально подтверждённой связки «ноутбук-сотрудник»). Никакие методы типа «и прислать ещё в этом же блоке данных фото с веб-камеры» и даже «прислать логин» к описанному методу геолокации по Wi-Fi не привязаны. То есть, имеет смысл говорить именно о геолокации устройства, при отсутствии чёткой идентификации личности, которая в данный момент ноутбуком пользуется.

      желательно б еще скидывать инфу под каким логином был выполнен вход

      Это можно смотреть другими инструментами – заббиксом каким-нибудь или даже встроенными средствами AD (а если такие инструменты не подключены, то и с геолокацией городить огород особого смысла нет, пожалуй).

      нужно все таки ноут допиливать gsm передатчиком

      Но стоимость решения при заданных условиях будет неподъёмной для небольших компаний.


      1. golge
        24.09.2021 17:39

        Начнем с того что рабочий комп, это прежде всего домен, то-есть логин/пароль. Третье лицо упрется в это. Поэтому то и писал про бесплатный вайфай. К которому подключается ноут без входа в систему. Третье лицо упрется в авторизацию и пойдет переставлять систему. Как вариант, пойдет к знакомому, где тот ради интереса, ну а вдруг, произведет сброс пароля локального админа. Но это если интересно что есть на компе. И тут да, закладка может сработать. Но если не настолько тупы, то просто снесут систему. Сброс биоса все еще вроде не отменили?

        Хотя ладно, как ответ на вопрос директора, "а где же наши ноуты и у кого сейчас тот который от того,к этому, а потом тому", сойдет. :) Кстати. я в свое время, до такого не дошел, хотя временами директор такие вопросы задавал, а денег не давал. Так что идея хороша. :)

        В командировках не все пользуются впн. поэтому тот же АД, не сможет сказать кто входит. Только кто входил с последним подключением к домену.


        1. LevOrdabesov Автор
          26.09.2021 21:42

          В командировках не все пользуются впн

          VPN должен подключаться до входа пользователя, на уровне системного сервиса. Даже OpenVPN это может.


          1. denser
            27.09.2021 05:52

            Как вариант, без VPN можно использовать бота телеграм, достаточно отправить HTTP запрос, а далее уже обработать его.


  1. belyvoron
    26.09.2021 19:47

    Ещё можно наклеить на ноутбуки airtag метки.

    Но соглашусь с другими комментаторами, сбор координат выглядит маслость аморально, даже если сотрудники в курсе и дали письменное согласие.


    1. LevOrdabesov Автор
      26.09.2021 21:56

      Ещё можно наклеить на ноутбуки airtag метки

      Те, которые Apple airtag? У них странноватый функционал и много ограничений (самое большое – инфраструктура только Эппл)

      сбор координат выглядит маслость аморально, даже если сотрудники в курсе и дали письменное согласие

      Не могу понять, в чём проблема.
      Работодатель и так примерно представляет, где тот или иной сотрудник. Точность описанного метода не очень высокая, так что он годится только в качестве дополнительной информации, для явного подтверждения или опровержения.
      Если работники таскают рабочую технику туда, где ей не место – насколько это «морально»?
      Опять же, интересно было бы посмотреть на «общественное» мнение, если бы благодаря этому методу нашли похищенного или пострадавшего человека, например, а не аморальных миш с машами.


      1. belyvoron
        27.09.2021 09:01

        Проблема в том, что не описанно нормального кейса, где это отслеживание нужно и этот кейс не решается куда более простыми средствами. Отсюда и подозрения, что это удовлетворение не здорового любопытства ИБ, которые хотят контролировать что надо и что не надо.

        Давайте разбирать.

        Мониторинг работает, только когда загружена ОС. Я надеюсь, у вас жёсткие диски ноутбуков зашифрованы (иначе потеря железа ноутбука - меньшее из зол), значит ОС может быть загружена только легитимным пользователем, кейс с кражей не годится.

        Контроль сдачи оборудования при увольнении решается административными способами.

        Если компании не нравится, что рабочий ноут возят на дачу на выходные, а там смотрят ютубчик, ну так никто не будет таскать с собой рабочий и личный ноутбук на дачу, но если есть шанс, что в выходные придётся поработать - очевидно, будет взят рабочий.

        Поэтому, если не считать нездорового любопытства ИБ, мне в голову приходит только кейс, что вашего сотрудника могут похитить вместе с ноутбуком, провести терморектальный криптоанализ и войти в сеть компании для кражи секретов. И поэтому нужно геопозиционирование завести в SIEM, чтобы она отслеживала отклонения от паттернов поведения. Но если этот кейс актуален, лучше вообще не выпускать ноутбуки за физический контур предприятия


        1. LevOrdabesov Автор
          27.09.2021 11:50

          Мониторинг работает, только когда загружена ОС. Я надеюсь, у вас жёсткие диски ноутбуков зашифрованы (иначе потеря железа ноутбука — меньшее из зол), значит ОС может быть загружена только легитимным пользователем, кейс с кражей не годится.

          Как я уже неоднократно отмечал в статье и комментариях, при жёсткой привязке (административной или технической) ноут-пользователь такая система может быть действительно лишней. Но есть масса кейсов «ноут нам нужен вотпрямщас презентация заказчик аврал бежать аааа», или ноуты в качестве «полутонких» клиентов для работы в корпоративном облаке и тп., когда на самом ноуте ничего важного не хранится, а ограниченный в правах профиль с автовходом чистится после выхода.
          Опять же, загрузка ОС != вход пользователя.

          Вообще, вы описываете идеальные отношения работодатель-работник. К сожалению, практика куда более сложна и запутана.
          Бывают, например, совершенно волшебные кейсы, когда работник считает рабочий ноутбук личным, потому что (прямая цитата) «у меня же нет своего ноутбука». Всю остальную информацию такой кадр может просто игнорировать или даже считать личным оскорблением. А на предложение руководству расстаться с таким ценным кадром не-управленец услышит очень странные вещи, которые придётся долго осмысливать.
          Или можно найти «потерянный», уже списанный бухгалтерией ноут. Пользователь сам его приносит и, нисколько не стесняясь, сообщает «ну я на нём играл и торренты качал, в постели валяяся. А чо?». Это не совсем про геолокацию, но очень показательно в плане реальных, а не формализованных кейсов.


  1. rionnagel
    26.09.2021 20:00
    +1

    Я как-то подобное делал через puppet+foreman и написанный модуль к сервису http://ip-api.com/json. Но это было в первую очередь для систематизации "где блин что у меня находится" т.к. с этим был небольшой бардак, точность нужна была город и ip (lat, lon там есть, но точность оставляет желать лучшего).


    1. LevOrdabesov Автор
      26.09.2021 21:41

      Ну да, если это геолокация по IP – хорошо если регион правильный назовёт. Те же мобильные IP вообще практически из любого места страны могут быть.


  1. navion
    27.09.2021 11:29

    Зачем GPS-трекер, когда можно заказать ноут с модемом и aGPS? Большой плюс такого решения, что пользователь всегда будет на связи.


    1. LevOrdabesov Автор
      27.09.2021 11:33

      За 100+ тыщ-то? (тяжкий вздох) Да я только за…


      1. navion
        27.09.2021 14:43

        Обычный корпоративный ноутбук, L14 наверное подешевле.


        1. LevOrdabesov Автор
          27.09.2021 14:56

          Малый бизнес вряд ли себе такое может позволить, а если и закупят, то геолокацию к нему точно захотят.