14 Antworten in diesem Thema

[Neax_x]

Hallo,

bei uns in der Abteilung wird momentan der Einsatz von USB-Sticks diskutiert.

Wir haben ca. 100 Aussendienstmitarbeiter in Europa. Alle besitzen ein Windowx XP Pro Notebook mit Power User Rechten. Es kommen momentan immermehr Mitarbeiter an und fordern einen USB-Stick. Die Sicherheitsrisiken sind ja allen bekannt.

Es gibt ja genug Apps die dies verhindern:

Devicewall (funzt noch nicht mit Vista, also an die Zukunft gedacht, fällt dieses Tool erstmal aussen vor)

GFI Endpoint Security 3.0: Meines Erachtens sehr gutes Tool, mit den man alle möglichen Devices (CD,USB,PCMCIA, PDA's, Bildverarbeitungsgeräte etc.) über das Active Directory disablen kann. Auch nicht grad billig, aber der Preis wäre es wert.

Habe meinem Chef die Lösung mit GFI vorgeschlagen, nur er bemängelt das man den Zugang für "bestimmte" USB Sticks nicht gewähren kann.

Meines Erachtens macht es auch keinen Sinn zu sagen: Nur USB Stick "A" darf benutzt werden, und alle anderen USB Sticks nicht. Denn egal von welchem Stick die Daten kommen, oder kpoiert werden ist im Endeffekt ja egal. Mein Chef will USB Sticks einsetzen für den Aussendient. Diese sollen aber alle gesichert ein, so dass keine Sicherheitsrisiken entstehen....

Hat da jemand von euch ne gute Lösung für mich ?

Man kann USB Sticks ja z.b. mit TrueCrypt verschlüssen, nur was ist mit Viren ( Trendmicro Client läuft auf jedem Rechner), sonstiger Software oder im schlimmsten Falle sogar das klauen von Betriebsinternen Dokumenten?

Wie gehe ich da am besten vor um unser Unternehmen zu schützen ?

Danke schonmal für die ersten Vorschläge.

Gruss,
André

[Dr.Melzer]

Mit Vista kannst du das Sperren bestimmter USB Datenträger mit Boardmitteln realisieren.
Der Effekt ist dass nur definierte Geräte angenommen werden.
Wenn du den Inhalt der Sticks verschlüsseln willst bieten die meisten nahmhaften USB Stick Hersteller Tools an um die eigenen Sticks zu verschlüsseln.

[Neax_x]

Also mit Vista ist es möglich zu bestimmen das man nur Zugriff auf den USB Datenträger "XY" hat und nicht auf Datenträger "YZ" ? Kannst du mir dazu evtl nen Link geben, oder sagen wo ich solche Einstellungen vornehmen kann? Haben derzeit nur einen Vista Test PC hier.....
Unter XP hab ich ausser mit externen Programmen wie oben schon erwähnt keine Möglichkeit USB-Geräte zuzulassen/zu sperren? Für XP finde ich bisher noch keine Lösung um wie bei dir von Vista erwähnt nur bestimmte USB-Sticks zuzulassen oder ?

Es geht sich auch nicht direkt nur um die Verschlüsselung von Daten sondern auch generell wie man USB Sticks am besten handhabt, damit keine Sicherheitslücken im System entstehen.... Momentaner Stand ist das alle Mitarbeiter Power User Rechte besitzen, damit Sie wenigstens USB-Geräte (Kameras, Drucker etc) anschliessen können. Mit normalen User rights wird Ihnend as ja schon nicht gewährt....
Durch die Power User Rights haben Sie ja die Möglichkeit jeden beliebigen USB Datenträger anzuschliessen und schädliche Software etc in das Notebook ( dadurch resultierend auch in das Firmennetzwerk) mit einzuschleusen....

Wie kann ich mich als Admin am ebsten davor schützen?

[Dr.Melzer]

Das Stichwort ist "DMI" (Device Management und Installation). Du kannst über den Gruppenrichtlinieneditor (gpedit.msc) festlegen welche Geräteklassen zugelassen werden und welche nicht.

Unter "Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen findest du die relevanten Richtlinien.

Wenn der Treiber für das Gerät schon installiert wurde greift die Richtlinie nicht mehr, weil sie ja nur die Installation der Treiber verhindert, nicht aber deren Ausführung. Du musst also vorher die Treiber der bereits installierten USB Devices deinstallieren.
Eine erneute Installation der Treiber wird dann von der Richtlinie verhindert.

[steffengr]

Hallo,
wir verwenden die Software "Sanctuary Device Control". Diese Software ist wirklich super gut. Die Verwaltung läuft vollständig über den Server. Du kannst entweder alle Sticks verbieten oder nach Seriennummern freigeben.
Es können damit alle Schnittstellen verwaltet werden nicht nur USB (COM, IDE, SATA, ESATA usw.)

USB Security - USB Blocking Software & Port Protection of Removable Devices

Gruß
Steffen

[grizzly999]

Also mit Vista ist es möglich zu bestimmen das man nur Zugriff auf den USB Datenträger "XY" hat und nicht auf Datenträger "YZ" ? Kannst du mir dazu evtl nen Link geben, oder sagen wo ich solche Einstellungen vornehmen kann? Haben derzeit nur einen Vista Test PC hier.....
Unter XP hab ich ausser mit externen Programmen wie oben schon erwähnt keine Möglichkeit USB-Geräte zuzulassen/zu sperren? Für XP finde ich bisher noch keine Lösung um wie bei dir von Vista erwähnt nur bestimmte USB-Sticks zuzulassen oder ?

Es geht sich auch nicht direkt nur um die Verschlüsselung von Daten sondern auch generell wie man USB Sticks am besten handhabt, damit keine Sicherheitslücken im System entstehen.... Momentaner Stand ist das alle Mitarbeiter Power User Rechte besitzen, damit Sie wenigstens USB-Geräte (Kameras, Drucker etc) anschliessen können. Mit normalen User rights wird Ihnend as ja schon nicht gewährt....
Durch die Power User Rights haben Sie ja die Möglichkeit jeden beliebigen USB Datenträger anzuschliessen und schädliche Software etc in das Notebook ( dadurch resultierend auch in das Firmennetzwerk) mit einzuschleusen....

Wie kann ich mich als Admin am ebsten davor schützen?

für XP und früher gibt es einige Drittherstellersoftware, die natürlich kostet, aber das ganz gut kann.

Einer der Links für das neue Vista-Feature: Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy


grizzly999

[Neax_x]

Danke schonmal für die Antworten.

Ich werde Sanctuary Device Control direkt mal testen für unsere WinXP Clients.
Desweiteren auch die DMI für Vista.

Somit kann ich dann hoffentlich auch erfolgreich nur "bestimmte" USB-STicks zulassen.
Vielleicht kann mir der ein oder andere vielleicht noch paar Tips geben, damit ich alles noch weiter absichern kann.

Trendmicro Antivirus scannt ja eh alle Dokumente ab, die geöffnet werden. Von daher sind wir gegen Viren soweit auch geschützt. Denke das eine Verschlüsselung der Daten bei verlust des USB-Sticks ebenfalls sehr sinnvoll ist.

Gibt es denn sonst irgendwelche Sicherheitsvorkehrungen die ich gegen USB-Sticks vornehmen könnte ?

Wie sieht es denn mit Überwachung der auf einen USB-Datenträger kopierten Daten aus? Falls ein Mitarbeiter Firmendaten steheln will etc....

Danke im voraus.

Gruss,
André

[steffengr]

Hallo,
SDC ist auch für Windows Vista. Geht auch wunderbar.
Wenn die Mitarbeiter an die Daten rankommen (Zugriff) kannst Du eigentlich nichts machen. Du müßtest eine Protokollierung aufbauen. Wer soll diese Datenflut bearbeiten ? Kommt auf die Mitarbeiteranzahl an.
Man kann aber festlegen, dass die Daten auf USB Stick verschlüsselt abgelegt werden.

Gruß
Steffen

[dippas]

Tach auch,

was hälst Du denn von DevicePro?

cynapspro GmbH

Sogar mit zentraler Oberfläche

grüße

dippas

[himbidas]

lies mal devicewatch (mit Demodownload) oder die Herstellerseite
himbidas

[Hammerfaust]

Hallo,

Es gibt doch diese U3 Sticks, diese Dinger haben doch eine kleine Benutzeroberfläche bzw. Startleiste, evtl. kann man dort auch ne Virensoftware installieren (4GB Speicher hat der Stick)

Gruß

Hammerfaust

[Neax_x]

@ dippas: Danke für die Info über DevicePro.

Das ist genau das Tool was ich suche. Habe heute ca. 2 Stunden mit nem techniker das ganze Programm am tele analysiert. Da ist alles drin was ich suche.

Ich kann jeden Anschluss am Notebook sperren. zusätzlich noch entscheiden das USB Stick "A" zugelassen wird und Stick "B" nicht. Die Software verwaltet man komplett übers AD und kann die Rechte auf jeden Benutzer easy ändern.

Falls ein Aussendient Mitarbeiter z.B im hintersten Timbuktu auf Geschäftsreise ist und dennoch Zugriff auf einen USB Stick braucht, ruft der mich an, ich generier nen Freischaltcode, den gibt er bei sich im Client ein, und zack hat er die Rechte die er braucht.

Zusätzlich kann man Master Geräte definieren, d.h. das ich z.B. mit meinem eigenen USB Stick an jedes Notebook anschliessen kann, und dieser wird dort funktuionieren, auch wenn alle Devices geblockt werden.

Zusätzlich kommt in den nächsten 2 Monaten ein Update der Software raus mit neuen Features:

- Eine komplette Protokollierung der Daten wird eingebaut,so dass ich einen Überblick habe über alle Daten die auf externe geräte kopiert werden, und andersrum. Meiner Meinung nach SEHR GUT gegen Schutz vor Datenklau !!!! Den Fall hatten wir leider einmal als einer usnerer AD's zu einem Konkurrenzunternehmen gewechselt ist :/
- zudem wirds noch ein Application und Crypting Modul im nächsten Update geben, mit dem man ebenfalls alle Berechtigungen für Programme setzen kann und die Daten für Speichermedien per AES, (noch eine mir gerade nicht einfallende verschlüsselung) verschlüsseln kann oder per Passwort sichern kann.
- Unterstützung für Thinclients (Da wir nur mit Terminalserver Technolgie arbeiten ein sehr grosser Vorteil für unser Unternehmen). DIe Thinclients die wir derzeit einsetzen sind von HP, IGEL und VXL, und bei allen ist es eine Leichtigkeit in die Optionen zu kommen und dort z.b. USB Sticks zu gewähren.....

Software funktioniert einwandfrei undter XP und Vista

Genau das was ich gesucht habe =)

Jetzt muss ich nur noch unser Management davon überzeugen das wir diese Software benötigen, damit die das nötige Kleingeld rausrücken x_X
Aus Sicherheitsgründen finde ich diese Software ein Muss für jedes mittelständische bis grössere Unternehmen.


Das war dann mein "kleiner und kurzer" Bericht zu dem was ich bisher rausgefunden habe. Sicherlich gibt es noch andere Firmen die ähnliche Endpoint Security Lösungen bieten, aber keine hat mich bisher so überzeugt. DevicePro 2007 bietet daher momentan für mich noch die meisten Features. Vor allem bin ich sehr überrascht über den positiven Support ( Wo gibt es einen Techniker der sich 2 Stunden mit einem hinsetzt, sich mit einem die ganze Software inkl. SQL Server installiert und das ganze Programm mit einem durchgeht???) !!!!

So, ab in den Feierabend !

Gruss,
André

[dippas]

Hallo Neax x (André),

freut mich, wenn der Tipp "geholfen" hat

Und danke für die den ausführlichen Erfahrungsbericht. Der wird auch anderen Usern hilfreich sein.

grüße

dippas

[Monarch]

Wir verwenden das Tool Devicelock, das hat ähnliche Funktionen. Erlaubt ebenfalls die komplette Protokollierung (SQL-Server, kopierte Daten lokal), temporäre Freischaltungen per Code etc. Unterstützung für Thinclients gibts aber afaik nicht.

mfg
Monarch

[mcp07]

Hey,

wollte mich bei euch bedanken.
Haben jetzt auch das DevicePro gekauft und sind sehr zufrieden.

Danke nochmals.