8
Sicherheit für Wechseldatenträger
Hi zusammen,
ich würde gerne bei uns in der Firma etwas mehr Sicherheit schaffen was Wechseldatenträger angeht. Derzeit sind leider quasi alle Anschlüsse für jeden offen zugänglich. Ich würde einerseits gerne eine Datenschleuse einführen, was ja nicht das riesen Problem ist, auf der anderen Seite möchte ich aber auch unsere Anschlüsse blocken. Am besten wäre eine Lösung, die quasi mit der Datenschleuse gekoppelt wäre, sodass nur geprüfte USB-Sticks an unseren Rechnern funktionieren. Die Anschlüsse komplett zu sperren ist leider auch keine Lösung.
Wenn ihr Lust habt, bin ich um Inspirationen dankbar, wie ihr das Thema löst.
Danke und Grüße!
ich würde gerne bei uns in der Firma etwas mehr Sicherheit schaffen was Wechseldatenträger angeht. Derzeit sind leider quasi alle Anschlüsse für jeden offen zugänglich. Ich würde einerseits gerne eine Datenschleuse einführen, was ja nicht das riesen Problem ist, auf der anderen Seite möchte ich aber auch unsere Anschlüsse blocken. Am besten wäre eine Lösung, die quasi mit der Datenschleuse gekoppelt wäre, sodass nur geprüfte USB-Sticks an unseren Rechnern funktionieren. Die Anschlüsse komplett zu sperren ist leider auch keine Lösung.
Wenn ihr Lust habt, bin ich um Inspirationen dankbar, wie ihr das Thema löst.
Danke und Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 568021
Url: https://administrator.de/contentid/568021
Printed on: April 19, 2024 at 15:04 o'clock
8 Comments
Latest comment
Hi,
mit "Ports" meinst Du USB-Anschlüsse?
E.
mit "Ports" meinst Du USB-Anschlüsse?
E.
Ja genau, sorry
Moin,
Was genau? USB-Sticks, Wechselplatten, Smartphones? Sonst noch was?
Was meinst Du mit Datenschleuse?
Da wäre noch einiges zu klären? Welches Betriebssystem? Windows, Linux, AppleOS, Solaris, CentOS, ...? Haben wir eine zentrale Userverwaltung? Wenn ja, welche? Warum ist das Sperren der USB-Anschlüsse für Wechseldatenträger nicht möglich?
Liebe Grüße
Erik
Zitat von @cumblent:
ich würde gerne bei uns in der Firma etwas mehr Sicherheit schaffen was Wechseldatenträger angeht.
ich würde gerne bei uns in der Firma etwas mehr Sicherheit schaffen was Wechseldatenträger angeht.
Was genau? USB-Sticks, Wechselplatten, Smartphones? Sonst noch was?
Derzeit sind leider quasi alle Anschlüsse für jeden offen zugänglich. Ich würde einerseits gerne eine Datenschleuse einführen, was ja nicht das riesen Problem ist,
Was meinst Du mit Datenschleuse?
auf der anderen Seite möchte ich aber auch unsere Anschlüsse blocken. Am besten wäre eine Lösung, die quasi mit der Datenschleuse gekoppelt wäre, sodass nur geprüfte USB-Sticks an unseren Rechnern funktionieren. Die Anschlüsse komplett zu sperren ist leider auch keine Lösung.
Da wäre noch einiges zu klären? Welches Betriebssystem? Windows, Linux, AppleOS, Solaris, CentOS, ...? Haben wir eine zentrale Userverwaltung? Wenn ja, welche? Warum ist das Sperren der USB-Anschlüsse für Wechseldatenträger nicht möglich?
Liebe Grüße
Erik
Oh, okay einige Fragen
Vor allem USB-Sticks, das wäre zumindest schon der erste Schritt in die richtige Richtung
#Sowas in die Richtung. Im Prinzip einfach ein System mit verschiedenen Viren Scannern.
Windows, Active Directory
Wenn wir einfach alle Anschlüsse sperren, würden unsere User wahrscheinlich durchdrehen
Was genau? USB-Sticks, Wechselplatten, Smartphones? Sonst noch was?
Vor allem USB-Sticks, das wäre zumindest schon der erste Schritt in die richtige Richtung
Was meinst Du mit Datenschleuse?
#Sowas in die Richtung. Im Prinzip einfach ein System mit verschiedenen Viren Scannern.
Da wäre noch einiges zu klären? Welches Betriebssystem? Windows, Linux, AppleOS, Solaris, CentOS, ...? Haben wir eine zentrale Userverwaltung? Wenn ja, welche? Warum ist das Sperren der USB-Anschlüsse für Wechseldatenträger nicht möglich?
Windows, Active Directory
Wenn wir einfach alle Anschlüsse sperren, würden unsere User wahrscheinlich durchdrehen
Moin,
Guck mal hier: https://www.security-insider.de/index.cfm?pid=7540&pk=577507&fk= ...
Unten findest Du eine Bildstrecke, die erklärt, wie man das mit Black- und Whitelists macht.
Ja und?
Wer zuviel quakt, dem wird USB komplett gesperrt. Dann gehen auch Maus und Tastatur nicht mehr.
Liebe Grüße
Erik
Guck mal hier: https://www.security-insider.de/index.cfm?pid=7540&pk=577507&fk= ...
Unten findest Du eine Bildstrecke, die erklärt, wie man das mit Black- und Whitelists macht.
Wenn wir einfach alle Anschlüsse sperren, würden unsere User wahrscheinlich durchdrehen
Ja und?
Wer zuviel quakt, dem wird USB komplett gesperrt. Dann gehen auch Maus und Tastatur nicht mehr. Liebe Grüße
Erik
Guck mal hier: https://www.security-insider.de/index.cfm?pid=7540&pk=577507&fk= ...
Unten findest Du eine Bildstrecke, die erklärt, wie man das mit Black- und Whitelists macht.
Unten findest Du eine Bildstrecke, die erklärt, wie man das mit Black- und Whitelists macht.
Das ist im Prinzip schon nicht so schlecht, aber die Hardware-IDs sind bei unseren Firmen USB-Sticks leider nicht eindeutig. Schöner wäre es, wenn eigentlich grundsätzlich erstmal keine Wechseldatenträger akzeptiert werden, außer sie waren vorher an der Datenschleuse angesteckt.
Ja und? Wer zuviel quakt, dem wird USB komplett gesperrt. Dann gehen auch Maus und Tastatur nicht mehr.
Wer zuviel quakt, dem wird USB komplett gesperrt. Dann gehen auch Maus und Tastatur nicht mehr. Meine Rede, aber hier sind leider alle viel zu nett
Ich habe dazu zwei Wissensbeiträge geschrieben:
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Bad-USB geskriptet abwehren (ab Windows 8)
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Bad-USB geskriptet abwehren (ab Windows 8)
Hallo.
Wir setzen Devicelock ein, welches sich genau um diese Angelegenheit kümmert.
Darüber haben qir auf allen Geräten die Kontrolle, was Wechseldatenträger oder auch CD/DVD Laufwerke anbelangt.
Ein zentraler Server steuert das Ganze und lässt auch zu für Offline (außerhalb des Netzwerks) und Online (innerhalb des Netzwerks) unterschiedliche Einstellungen vorzugeben.
Generell können bestimmte Gruppen von Geräten (Eingabe-Peripherie) immer zugelassen werden.
Der Agent lässt sich problemlos via GPO verteilen.
Einziges Problem, dass wir hatten waren Surface Books (grottenschlechte Hardware, wollte Chef aber unbedingt haben). Dort war sobald DeviceLock installiert wurde die integrierte Tastatur nicht durchgelassen und man musste immer ein USB-Klavier anschließen
Gruß
Radiogugu
Edit: Je nach Antivirus-Lösung sind ja diese Funktionalitäten in etwas abgespeckter Form auch vorhanden.
Wir setzen Devicelock ein, welches sich genau um diese Angelegenheit kümmert.
Darüber haben qir auf allen Geräten die Kontrolle, was Wechseldatenträger oder auch CD/DVD Laufwerke anbelangt.
Ein zentraler Server steuert das Ganze und lässt auch zu für Offline (außerhalb des Netzwerks) und Online (innerhalb des Netzwerks) unterschiedliche Einstellungen vorzugeben.
Generell können bestimmte Gruppen von Geräten (Eingabe-Peripherie) immer zugelassen werden.
Der Agent lässt sich problemlos via GPO verteilen.
Einziges Problem, dass wir hatten waren Surface Books (grottenschlechte Hardware, wollte Chef aber unbedingt haben). Dort war sobald DeviceLock installiert wurde die integrierte Tastatur nicht durchgelassen und man musste immer ein USB-Klavier anschließen
Gruß
Radiogugu
Edit: Je nach Antivirus-Lösung sind ja diese Funktionalitäten in etwas abgespeckter Form auch vorhanden.
