schwinni79
Goto Top

kennwortschutz für usb stick

Hallo zusammen,

wir haben in unserem Arbeitsumfeld das Problem, dass viele User Ihre Daten einfach auf USB Sticks ziehen, um diese dann an einem anderen Ort (Zuhause) weiterbearbeiten zu können. Die Daten liegen also ungeschützt und nicht verschlüsselt auf dem USB Stick.

Meine 2 Fragen, die ich habe sind:

1) Wie kann ich es (per GPO) verbinden, dass die User überhaupt Ihre Daten auf USB Sticks schreiben können? USB muss dabei aber prinzipiell noch zur Verfügung stehen...

2) Wie kann ich es erreichen, dass die vorhandenen USB Sticks mit einem Kennwort abgesichert werden. Dabei geht es mir um den Stick selber - nicht die einzelnen Daten oder ein ZIP- Archiv auf dem Stick. Die Daten sollen erst sichtbat werden, wenn man ein Kennwort eingegeben hat. Die Daten sollten nach erfolgreicher Entschlüsselung im Vollzugriff stehen - also auf dem Stick verändert werden können.


Vielen Dank

Michael Student

Content-Key: 35315

Url: https://administrator.de/contentid/35315

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Lizzard
Lizzard 04.07.2006 um 07:47:09 Uhr
Goto Top
Zu 1): das würd' mich auch interessieren, ich wüsste da keinen Weg - schließlich ist der USB-Stick ein normales Laufwerk, damit auch schreibbar. Würde man per GPO das Ding nur Read-Only machen oder USB ganz verbieten, würde Dir das nicht nützen.

Zu 2): Wir lösen das mit TrueCrypt (http://www.truecrypt.org/), da kann man entweder den kompletten Stick oder eine virtuelle Partition verschlüsseln. Die ist dann nur per Passwort und/oder Pass-Datei zu öffnen. Kostet nix (Open Source), und IMHO eine der besten Lösungen, die ich in dem Bereich bisher getestet habe.

Grüßle

Lizzard
Mitglied: Schwinni79
Schwinni79 04.07.2006 um 08:01:01 Uhr
Goto Top
Hallo Philipp,

vielen Dank für die schnelle Antwort. Gibt es Probleme, wenn der USB Stick an den unterschiedlichen Systemen mit verschiedenen Laufwerksbuchstaben gemappt wird?

Kann man dem USB Stick einen default-Wert mitgeben, damit er von sich aus immer einen bestimmen Buchstaben nimmt ( z.B. immer Laufwerk Z) ?

Danke Michael
Mitglied: Raphael
Raphael 04.07.2006 um 08:16:33 Uhr
Goto Top
du kannst über die Datenträgerverwaltung unter Windows einen Buchstaben zuweisen .. wenn du dne Stick wieder in den selben PC schiebst hat er den selben buchstaben ... bei einem anderne PC muss man ihn aber wieder neu setzen.

zu den GPOs:
http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivie ...

viele Grüsse
Mitglied: Lizzard
Lizzard 04.07.2006 um 09:48:35 Uhr
Goto Top
Zum Einen gilt das, was Raphael schrieb, für den USB-Stick. Für TrueCrypt kannst Du das festlegen - es gibt da den "Traveler Disk Setup Wizard", der fragt genau diese Sachen ab - wahlweise taucht das TrueCrypt-Laufwerk dann immer unter demselben Buchstaben auf oder unter dem nächstbesten freien. Ist wirklich den Versuch wert, denke ich!
Mitglied: Raphael
Raphael 04.07.2006 um 10:05:39 Uhr
Goto Top
Kann man das mit den "Tipps" und "erlärungen" irgendwie ausschalten? ("how To" zerstört mir meinen link)
USB Sticks Deaktivieren
Mitglied: Supaman
Supaman 04.07.2006 um 12:42:08 Uhr
Goto Top
guck dir mal utimaco lan crypt an.
Mitglied: 29654
29654 06.07.2006 um 16:41:06 Uhr
Goto Top
Zur Sperrung der USB-Sticks über GPO kann ich nichts sagen.

Die Daten auf USB-Sticks würde ich mit Challenger verschlüsseln. Diese Software arbeitet mit normalen Benutzerrechten. (Man will ja nicht das die Benutzer lokale Adminrechte bekommen müssen. face-smile). Außerdem gibt es auch ein U3-Package. Das U3-Konzept ist sehr interessant. Mittlerweile ist der Preis der U3-Sticks vergleichbar mit normalen USB-Sticks. Die Software kann aber auch für normale USB-Sticks verwendet werden.

Die Admins können das verwendete Passwort zur Verschlüsselung vorgeben. Die Anwender können die Software in der Regel ohne Schulung bedienen. Es fällt praktisch kein Support an, was ich von keiner anderen Software her kenne - jedoch sehr wichtig finde!
Mitglied: jowi
jowi 07.08.2006 um 20:01:12 Uhr
Goto Top
Doch das geht. Das geht sogar über Activce-Directory über den gesamten Forest ...

auf jeden User, auf jedes LW. Kostet zwar ein paar Mark-Fünfzig, aber es funktioniert tadellos in der gesamten Domäne.
Ich habs selbst in einer Schule in Betrieb (Schullizenz).

Text zum Produkt:
DeviceLock gibt Netzwerkadministratoren die Kontrolle daruber, welche Benutzer auf welche Laufwerke auf einem lokalen Rechner zugreifen konnen (Disketten, serielle und parallele Ports, magneto-optische Laufwerke, CD-ROMs, ZIPs, USB, FireWire usw.). Wenn DeviceLock einmal installiert ist, konnen Administratoren den Zugriff auf Diskettenlaufwerke, CD-ROMs oder alle anderen Laufwerke kontrollieren, abhangig von der Tageszeit und dem Wochentag. DeviceLock erweitert die Zugriffskontrolle fur Windows-Systemadministratoren und unterstutzt die Kontrolle der Verwendung von Wechselplatten. Es kann Netzwerk und lokale Rechner gegen Viren, Trojaner und andere bosartige Programme schutzen, die oft von Wechselplatten aus eingebracht werden. Netzwerkadministratoren konnen DeviceLock auch verwenden, um die Puffer von Speicherlaufwerken zu leeren. Fernsteuerung ist auch verfugbar. Bedenken Sie, dass beinahe 80% aller Sicherheitslucken von innen kommen! DeviceLock ist eine ideale Losung, um NT zu sichern und Ihre Netzwerkrechner gegen Attacken von innen zu schützen.

Hier der Link: http://www.protect-me.com/de/dl/

Herzl. Grüße vom Tegernsee (Obb)
"vagus"
Mitglied: 35010
35010 07.09.2006 um 11:31:18 Uhr
Goto Top
hallo miteinander face-smile

leider funktionieren alle tools die ihr beschrieben habt nicht bei unserer infrastruktur face-sad

die user die die usb sticks gebrauchen haben keine admin rechte und die software soll nicht auf den pc's sondern auf den sticks installiert sein.
habt ihr vielleicht noch andere tipps oder softwares auf lager?

oder kennt sich jemand mit den fingerprint usb sticks aus?

merci für eure bemühungen!!!

grüsse
Mitglied: 29654
29654 07.09.2006 um 17:55:31 Uhr
Goto Top
Also Challenger funktioniert bestimmt. Du installierst die Software auf dem USB-Stick. Danach kannst Du im Root vom Stick challenger.exe finden und starten. Bevor Du den gesamten Stick verschlüsselst, solltest Du die Kurzanleitung durchgehen und vor allem eigene Passwörter festlegen. Probiere es mal! Funktioniert wunderbar.
Mitglied: 35075
35075 07.09.2006 um 20:13:57 Uhr
Goto Top
Zu deiner ersten Frage: Es gibt von Utimaco SafeGuard Advanced Security dass Modul P&P Management, ermöglicht eine zentrale Kontrolle über die Verwendung von USB-Geräten und ist meines Wissens nach auch stand alone erhältlich...

@ supaman denke dies meintest du, oder? Mit LanCrypt kannst du die Zugriffsrechte von Gruppen oder Usern festlegen. Die Daten werden verschlüsselt auf dem Server abgelegt und je nach Grp oder User sind Sie im Klartext sichtbar oder halt auch nicht.

;) sonnigen Gruesse
Tuffeline
Mitglied: 29654
29654 08.09.2006 um 00:26:22 Uhr
Goto Top
Irgendwie habe ich das Gefühl, dass ich die Problemstellung nicht verstehe. Um was geht es hier? Was für eine Lösung wird gesucht?

Übrigens @35010:
Mit Fingerprint-Sticks habe ich sehr schlechte Erfahrungen gemacht. Die Erkennungsrate war nicht immer zuverlässig. Außerdem sind entsprechende Sticks teurer als Standardsticks, die ja zu hauf angeschafft wurden (und jetzt wieder wegschmeisen?).

Am besten fand ich dann noch die Challenger-Lösung. Die Software arbeitet unabhängig von der verwendeten Stick-Hardware. Die Software muss nicht installiert, sondern nur auf dem Stick kopiert werden. Der Anwender kann sogar mit einfachen Gastrechten die Software benutzen. Er kann die Software also auch auf fremden Systemen nutzen. Es fallen praktisch keine Supportkosten an, da das Programm für den Anwender wirklich sehr einfach vorkonfiguriert werden kann. Die reine Benutzung ist ein Kinderspiel.
Die Anwender müssen zwar die Verschlüsselung starten, aber dafür können Sie nur die Dateien entschlüsseln, mit den Sie aktuell arbeiten wollen, was aus meiner Sicht ein wichtiger Sicherheitsaspekt ist.

Jede andere Lösung ist nur mit einer starren Netzwerkstruktur möglich. Unsere Mitarbeiter sind aber oft mal hier und mal da und müssen spontan Entscheidungen treffen. Wenn einmal das Firmennetz nicht vorhanden ist, sollten Sie trotzdem die Daten auf USB-Stick sichern können. Und das schöne an Challenger ist, dass verschlüsselte Dateien einfach per Email ausgetauscht werden können. Alles mit einem Programm!
Mitglied: 35010
35010 22.09.2006 um 08:11:14 Uhr
Goto Top
merci für die antwort...

den challenger habe ich auch schon ausprobiert, leider funktioniert diese software auch nicht so richtig.
Mitglied: 29654
29654 22.10.2006 um 17:38:58 Uhr
Goto Top
Es gab immer wieder ein paar Kinderkrankheiten, aber mittlerweile läuft alles hervorragend.