pendrive bezpieczenstwo w sieci

[Gość RuFiK]

Witajcie,

 

Planuje zablokować całkowicie możliwość korzystania z pendrive'ow z bardzo oczywiste powodu - wirusy itp

Szukam odpowiednich rozwiązań starałem się coś z zastosowaniem AD wdrożyć ale ciężko...

 

Może znacie jakieś dobre rozwiązania, softy, Systemy sieciowe z możliwością zarządzania ?

 

Oczywiście nie nastawiam się na darmowe oprogramowanie, a wręcz przeciwnie wiec na koszt licencji w razie czego nie gra roli

 

Czy macie jakieś pomysły, sugestie, propozycje ?

 

pzdr

[kafi 2425]

Niestety... najbardziej skuteczne jest usunięcie sterowników i wyłączenie w BIOSie kontrolera USB.

Całą resztę niestety da się ominąć...

[Gość RuFiK]

Niestety... najbardziej skuteczne jest usunięcie sterowników i wyłączenie w BIOSie kontrolera USB.

Całą resztę niestety da się ominąć...

 

Niestety twoja sugestia nie ma swojego odwzorowania w praktyce, gdyz nie wolno zapominac o np myszki/klawiatury na USB które musze działać

 

pzdr

[lukaschemp 27]

Zajrzyj tu.

[Jarosław Szmańda 42]

A jaki system?

Bo w Linuksie da się wyłączyć auto montowanie i w ogóle polecenie mount tylko dla roota, nie?

[Gość RuFiK]

A jaki system?

Bo w Linuksie da się wyłączyć auto montowanie i w ogóle polecenie mount tylko dla roota, nie?

 

komputery w sieci dziala w AD (win xp pro plus pare na SBS )

 

takze srodowiska klienckie sa w 100 % by microsoft

 

znalalzlem jeszcze http://www.plikcenter.pl

ps dzieki lukas poczytam, ale czekam na wiecej informacji

 

pzdr

[Przemysław Kozłowski 0]

Poszukaj czegoś na http://www.10001downloads.com/s/pendrive-lock.html

[Gość RuFiK]

Poszukaj czegoś na http://www.10001downloads.com/s/pendrive-lock.html

 

Bardzo bym prosił o podanie konkretnych naza/ linkow etc

[Przemysław Kozłowski 0]

Raczej nikt nie będzie szukać tego za ciebie...

[beliq 442]

Na 100% wystarczy powyłączać pewne rzeczy ręcznie w rejestrze systemowym,

aby uzyskać porządany efekt.

99% tych magicznych programików tak działa, to są tylko "nakładki"

[kafi 2425]

Na 100% wystarczy powyłączać pewne rzeczy ręcznie w rejestrze systemowym,

aby uzyskać porządany efekt.

Wyłączenie dostępu do pamięci masowych z poziomu rejestru ma jakieś 10% skuteczności... dla osób, które potrafią jedynie Worda odpalić, żeby napisać dwie linijki tekstu i owszem.

Ale dla ciut bardziej zaawansowanych się w 100% nie sprawdza... co widać było chociażby przy wycieku tzw. "Listy Wildsteina".

 

Tak jak napisałem wcześniej - jedyną skuteczną metodą jest albo całkowite wycięcie kontrolera USB w biosie, albo też podmiana jego sterowników na takie, które umożliwiają zaawansowany ACL dla zasobów.

No i znacznie utrudnić życie może wycięcie z systemu sterownika pamięci masowej... najłatwiej przy pomocy nLite chyba.

[Gość RuFiK]

ok, postawilem sobie wirtualne srodowisko. Jutro bedziemy testowac.

Bell byc moze ... ale ja takie sprawy rozumiem, ale sa rowniez osoby ktora nie rozumieja i dlatego wola jakis system w stlu " click and enjoy"

 

Jezeli jeszcze macie jakies propozyszyn - pisac

 

Pozdrawiam.

[beliq 442]

Wyłączenie dostępu do pamięci masowych z poziomu rejestru ma jakieś 10% skuteczności... dla osób, które potrafią jedynie Worda odpalić, żeby napisać dwie linijki tekstu i owszem.

 

To żart? Przecież my właśnie o zabezpieczeniach dla tego targetu rozmawiamy,

 

bo ja jak będę chciał, to sobie wyjmę dysk, zrobię jego zrzut,

 

uruchomię w maszynie wirtualnej i przekopiuję co tylko będę chciał

 

nawet jak spędzisz 3 dni klikając w BIOSie.

 

Ot, taki pierwszy z brzegu przykład, a jest ich więcej,

 

mówisz a, ja odpowiadam b.

 

Nie da się wdrażać takich zabezpieczeń na wysokim naprawdę poziomie

 

bez grutnownej reorganizacji funkcjonowania systemów wewnętrznych firmy.

[Gość RuFiK]

Bell czy mogłbyś nieco szrzej opisać nt. grutnownej reorganizacji funkcjonowania systemów wewnętrznych firmy.

 

pzdr

[kafi 2425]

bo ja jak będę chciał, to sobie wyjmę dysk, zrobię jego zrzut,

uruchomię w maszynie wirtualnej i przekopiuję co tylko będę chciał

nawet jak spędzisz 3 dni klikając w BIOSie.

Viśtowy BitLocker wraz ze sprzętowym TPM zintegrowanym z płytą główną spowoduje, że ci się raczej tego nie uda zrobić przynajmniej w taki sposób.

 

Poza tym - jeśli sprzęt jest markowy, to ma switch caseOpened, który ładnie będzie raportował <gdzieś> o zdjęciu obudowy, a dzięki temu doprowadzi do dyscyplinarnych konsekwencji wobec takiego majsterkowicza...

 

No i jeszcze zostaje założenie kłódki na sprzęt

[Gość RuFiK]

Viśtowy BitLocker wraz ze sprzętowym TPM zintegrowanym z płytą główną spowoduje, że ci się raczej tego nie uda zrobić przynajmniej w taki sposób.

 

Poza tym - jeśli sprzęt jest markowy, to ma switch caseOpened, który ładnie będzie raportował <gdzieś> o zdjęciu obudowy, a dzięki temu doprowadzi do dyscyplinarnych konsekwencji wobec takiego majsterkowicza...

 

No i jeszcze zostaje założenie kłódki na sprzęt

 

Fiercio zacznij myslec jak admnistrator a nie jako użyszkodnik...

Myslisz ze kazda firma wymienia PC zeby byc na topie, lub zeby bylo np zastosowac taka koncpecje jak twoja ?

nie!

 

sa inne sposoby, ktora finansowo przoduja

Czy wyobrazasz sobie wymienic 2000 komputerow ? bo ja nie

[beliq 442]

Czy wyobrazasz sobie wymienic 2000 komputerow ? bo ja nie

To jest właśnie ta gruntowna reorganizacja infrastruktury o którą pytałeś

 

Niestety, ale dopóki środowisko jest heterogeniczne i brak jest szablonu,

 

 

to trudno cokolwiek wdrożyć "z wyższej półki" zabezpieczeń.

 

Dlatego radzę Ci pobawić się tym rejestrem.

[Gość RuFiK]

oki, troszke pogrzebalem na necie oraz plus minus wymienilem sie paroma zdaniami ze znajomymi w łodzi

ogolnie bedzie dobrze

 

dzieki wielkie za udzial w temacie

 

Pozdrawiam, milej nocki