flyingkangaroo
Goto Top

Desinfektions-Station für Wechseldatenträger...

Hallo,

wir haben in unserem Netzwerk mit Windows-Clients ein bischen ein Problem mit "fremden" Wechseldatenträgern, auf denen sich manchmal Viren befinden...
Es passiert von Zeit zu Zeit, daß der Virenscanner Alarm schlägt, und Zugriffe auf USB-Sticks o.ä. verhindert.

Ich bin derzeit auf der Suche nach einer brauchbaren Lösung:
Eine Lösung wäre natürlich zu sagen, daß niemand mehr seine private Digitalkamera-Speicherkarte o.ä. an einen Rechner anschließen darf... ich denke diese Lösung ist leider nicht ganz durchzuhalten (gemeinnützige Einrichtung).

Jetzt bin ich am überlegen, ob es nicht eine einfach zu bedienende (am besten schnell bootende) Linux-Anti-Virus-Distribution gibt (welche sich bei jedem Bootup die neuesten Virensignaturen holt), wo man die Mitarbeiter dazu verdonnern könnte, daß sie, wenn sie nicht Einrichtungs-Eigene USB-Sticks anschließen (oder welche die außer Haus eingesetzt wurden), diese dort auf Viren überprüfen müssen...
Mir gefällt der Gedanke nämlich gar nicht, daß ein USB-Stick der vorher an einem fremden PC dran war, in unserem Einrichtungsnetzwerk angeschlossen wird...

Kennt jemand eine AntiViren-CD o.ä., welche man für diesen Zweck gut verwenden könnte? Oder hat jemand andere Tipps?
Es müsste natürlich einfach und schnell durchzuführen sein, ansonsten wird es ja doch möglicherweise wieder nicht zuverlässig gemacht face-confused

Gruß
Dieter

Content-ID: 184949

Url: https://administrator.de/forum/desinfektions-station-fuer-wechseldatentraeger-184949.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

16568
16568 14.05.2012 um 10:12:10 Uhr
Goto Top
Einfach die USB's sperren lassen, gibt genügend Drittanbieter, die das können...


Lonesome Walker
ITSchlumpf
ITSchlumpf 14.05.2012 um 10:27:45 Uhr
Goto Top
Hoi Kangaroo,

also im Ct war neulich eine Live-Linux CD speziell für die Viren-Suche.
Ist eig. recht einfach und unkompliziert.

Kannst es dir ja mal anschauen.

Wieso kannst du nicht verbieten, dass fremde USB-Sticks angeschlossen werden? Geht ja um die Sicherheit im Betrieb, da sollte sowas doch möglich sein oder?


Gruß
Schlumpf
flyingKangaroo
flyingKangaroo 14.05.2012 um 10:28:34 Uhr
Goto Top
Naja eine "Vollsperre" ist nicht unbedingt wünschenswert... den einzigen Anbieter den ich finden konnte für ein "Whitelisting" von USB-Stick, das war "Device Control" von "Lumension"... gibt's da auch noch andere?

Nur, daß der Stick nicht der Einrichtung gehört, schließt auch nicht aus, daß er mal an einen nicht-einrichtungseigenen Rechner angeschlossen war. Man müsste also wirklich verbieten
- verwendet nur Einrichtungseigene USB-Sticks
- verwendet diese niemals an einem nicht-einrichtungseigenen Rechner
- macht Digitalfotos ausschließlich mit einrichtungseigenen Kameras
- verwendet einrichtungseigene Foto- und Videokameras NIE für private Zwecke

Und eines Tages fuhr der Chef zu einem Vortrag und sollte seine Präsentation auf einem USB-Stick mitbringen... face-wink
cardisch
cardisch 14.05.2012 um 10:31:37 Uhr
Goto Top
Moin,

das würde implementieren, dass sich alle User mit einem Live-Linux auskennen....
Ich kenne u.A. Desinfec´t, GData und Avira Boot-CD´s, bei denen muss man IMMEr das Definitionsupdate händisch anwerfen, bzw. wenn man einen Scan anstößt, wird es automatisch gemacht.
Das wird also ausfallen für dich.
Vielleicht liessen sich zumindest die Linux-Varianten so einstellen, dass das alles automatisch abläuft, aber dafür müsste man die Medien anpacken, das dürfte an deinen Kenntnissen scheitern.
Bliebe noch ein Test, wie sich div. rescue-CD´s bei Wechselmedien verhalten, aber auch da dürfte es an den Usern scheitern ("wo ist denn das Häkchen zum sicheren entfernen")....
Es läuft also auf eine Sperrung hinaus...
Gruß

Carsten
flyingKangaroo
flyingKangaroo 14.05.2012 um 10:39:01 Uhr
Goto Top
Ich denke neben dem Problem "wie trimmt man so eine Distribution auf 'Vollautomatik'" ist viel wichtiger, daß ich mir nicht 'aufhalsen' wollte, diese Distribution dann immer zu pflegen... jedes mal wenn der AV-Hersteller ein neues Major-Release rausbringt, welches vom Updater-verhalten nicht mit der alten Variante Kompatibel ist o.ä., dann ist man erneut am schrauben face-confused

Wenn AV-CDs ordentlich implementiert sind, müssen die ein fs-sync machen, wenn sie mit dem Scan fertig sind...
Hubert.N
Hubert.N 14.05.2012 um 10:41:15 Uhr
Goto Top
Moin

Ich verstehe den Ansatz nicht. Weil: Anwender sitzt vor seinem Rechner und will USB-Stick benutzen. In deinem Gedankengang wird der Benutzer nun seinen PC runterfahren, von einer Live-CD booten, das Scan-System aktualisieren, den Stick scannen und dann wieder sein Windows in Betrieb nehmen um den USB-Stick dann zu nutzen. Da kann ich nur sagen: Vergiss es. Das wird so niemals funktionieren.

Und selbst wenn das so funktionieren würde und der Faktor Mensch dir nicht einen Strich durch die Rechnung machen würde: Was hast du davon. Was sagt dir, dass die Live-CD ein besseres Scanergebnis liefert als der doch hoffentlich auf dem PC vorhandene Virenschutz ?

Wenn du es sicher machen willst, dann bleibt dir unterm Strich nur über, die Verwendung dieser Medien zu sperren. Über welches OS unterhalten wir uns da eigentlich überhaupt ?

Gruß

Hubert
Alchimedes
Alchimedes 14.05.2012 um 10:43:02 Uhr
Goto Top
Hallo ,

Du kannst die Devices auch direkt in den Sicherheitseinstellungen deaktivieren.
Sonst kann ich Dir Sophos empfehlen , da gibt es auch Devicecontrol.

Ansonsten klare Richtlinien fuer die Benutzung der Rechner erstellen und vieleicht einen
extra Testrechner zur Devicekontroll einrichten wo die Sticks, CD's e.t.c ueberprueft
werden koennen.

Gruss
adminst
adminst 14.05.2012 um 10:49:09 Uhr
Goto Top
Hallo zusammen
1. Wird kein User den Scan machen (Kenntnisse + es ist mühsam immer den PC runterfahren, scannen usw.)
2. Ist es eine Sache der Grund Policy. Grundsatz: Kein Wechseldatenträger kommt ins Netz welcher nicht authorisiert wird, alles andere ist Hobbybastlerei

adminst
jechiel
jechiel 14.05.2012 um 14:45:47 Uhr
Goto Top
Vielleicht kommst Du zufrieden mit einem USB immunisier Tool?
Es gibt von Bitdefender oder vielleicht auch andere Hersteller.

Ich weiss nicht wie viel es nützt.
Ich nehme an es erstellt einen schreibgeschutztes Autorun.
16568
16568 14.05.2012 um 16:38:10 Uhr
Goto Top
Was ich irgendwie bei Allen hier Beteiligten nicht verstehe:
ich habe in meinem ersten Beitrag auf Drittanbieter verwiesen, da ich ungern Werbung für die Firmen mache.

Habt Ihr denn da alle nicht gegoogelt?
Wie sichert Ihr EUER Unternehmensnetzwerk ab?

Gar nicht?

Uralter Anbieter-Hut: USB-Device-Control


Lonesome Walker
flyingKangaroo
flyingKangaroo 02.06.2012 um 09:14:16 Uhr
Goto Top
Danke für sämtliche Antworten.

Mir war bekannt, daß es Tools gibt um die Benutzung von (USB-)Datenträgern in irgendeiner Form einzuschränken. Ein "Wechseldatenträger komplett deaktivieren" wird nämlich wahrscheinlich nicht in allen Fällen durchzuhalten sein.

Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).

Ich schätze wir werden nicht darum herumkommen, in so ein Stück Software zu investieren face-confused
Lochkartenstanzer
Lochkartenstanzer 02.06.2012 um 10:15:30 Uhr
Goto Top
Zitat von @flyingKangaroo:
Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).

Wieso?

Nimm doch die knoppicillin/desinfect von der c't, installier sie auf eine Kiste, die die Scanstation sein soll und lass diese durchlaufen. Mit ein klein wenig Aufwand kannst Du das sogar so erweitern, daß jedes angeschlossene Wechselmedium sofort gescannt wird, anstatt das die Benutzer einen Klick machen müssen.

Das ist es doch, was Du wolltest.

lks
16568
16568 04.06.2012 um 16:37:24 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Nimm doch die knoppicillin/desinfect von der c't, installier sie auf eine Kiste, die die Scanstation sein soll und lass diese
durchlaufen. Mit ein klein wenig Aufwand kannst Du das sogar so erweitern, daß jedes angeschlossene Wechselmedium sofort
gescannt wird, anstatt das die Benutzer einen Klick machen müssen.

Bitte das korrekte und automatische Unmounten mit Signalisierung für den User dann aber nicht vergessen :-P
(sonst gibts Ärger wegen geschrotteten Speichermedien...)


Lonesome Walker
Lochkartenstanzer
Lochkartenstanzer 04.06.2012 um 18:29:07 Uhr
Goto Top
Zitat von @16568:

Bitte das korrekte und automatische Unmounten mit Signalisierung für den User dann aber nicht vergessen :-P
(sonst gibts Ärger wegen geschrotteten Speichermedien...)

Ich gehe mal davon aus, daß derjenige, der es fertigbringt, die Medien beim Einlegen automatisch scannen zu lassen, auch das unmounten und signalisieren berücksichtigt. face-smile

lks
flyingKangaroo
flyingKangaroo 05.06.2012 um 08:37:35 Uhr
Goto Top
Damit das dann auch wirklich gemacht würde, müssten folgende Bedingungen erfüllt sein:
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").

Alles in allem glaube ich nicht, daß das so möglichst failsafe zu implementieren ist, OHNE eine solche Distribution größer anzufassen... von daher habe ich mich bereits gedanklich von so einer Lösung verabschiedet.

Trotzdem Danke für die Antworten.

PS: Eigentlich sollte ein 'rausrupfen' des Datenträgers wenn nur Leseoperationen vorangegangen sind, nicht zu Datenverlust führen...
Lochkartenstanzer
Lochkartenstanzer 05.06.2012 um 10:05:07 Uhr
Goto Top
Zitat von @flyingKangaroo:
Damit das dann auch wirklich gemacht würde, müssten folgende Bedingungen erfüllt sein:
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es
aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen
welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die
Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").

Das kannst Du alles mit der "desinfect" von der ct kannst Du das alles machen. Du mußt die nur auf die Platte installieren/kopieren. Mit einem klick startet das automatische updaten und scannen udn am Schluß erhält man das Ergebnis vorgesetzt.


Alles in allem glaube ich nicht, daß das so möglichst failsafe zu implementieren ist, OHNE eine solche Distribution
größer anzufassen... von daher habe ich mich bereits gedanklich von so einer Lösung verabschiedet.

Aber die Desinfect scheinst Du Dir nicht angeschaut zu haben. face-smile


Trotzdem Danke für die Antworten.

PS: Eigentlich sollte ein 'rausrupfen' des Datenträgers wenn nur Leseoperationen vorangegangen sind, nicht zu
Datenverlust führen...

Wenn was gefunden wurde, kann je nach voreinstellugn auch geschrieben werden. Und manche filesysteme vermerken auch den zeitpunkt des letzten zugriffs in den Metadaten.

lks