16
Desinfektions-Station für Wechseldatenträger...
Hallo,
wir haben in unserem Netzwerk mit Windows-Clients ein bischen ein Problem mit "fremden" Wechseldatenträgern, auf denen sich manchmal Viren befinden...
Es passiert von Zeit zu Zeit, daß der Virenscanner Alarm schlägt, und Zugriffe auf USB-Sticks o.ä. verhindert.
Ich bin derzeit auf der Suche nach einer brauchbaren Lösung:
Eine Lösung wäre natürlich zu sagen, daß niemand mehr seine private Digitalkamera-Speicherkarte o.ä. an einen Rechner anschließen darf... ich denke diese Lösung ist leider nicht ganz durchzuhalten (gemeinnützige Einrichtung).
Jetzt bin ich am überlegen, ob es nicht eine einfach zu bedienende (am besten schnell bootende) Linux-Anti-Virus-Distribution gibt (welche sich bei jedem Bootup die neuesten Virensignaturen holt), wo man die Mitarbeiter dazu verdonnern könnte, daß sie, wenn sie nicht Einrichtungs-Eigene USB-Sticks anschließen (oder welche die außer Haus eingesetzt wurden), diese dort auf Viren überprüfen müssen...
Mir gefällt der Gedanke nämlich gar nicht, daß ein USB-Stick der vorher an einem fremden PC dran war, in unserem Einrichtungsnetzwerk angeschlossen wird...
Kennt jemand eine AntiViren-CD o.ä., welche man für diesen Zweck gut verwenden könnte? Oder hat jemand andere Tipps?
Es müsste natürlich einfach und schnell durchzuführen sein, ansonsten wird es ja doch möglicherweise wieder nicht zuverlässig gemacht
Gruß
Dieter
wir haben in unserem Netzwerk mit Windows-Clients ein bischen ein Problem mit "fremden" Wechseldatenträgern, auf denen sich manchmal Viren befinden...
Es passiert von Zeit zu Zeit, daß der Virenscanner Alarm schlägt, und Zugriffe auf USB-Sticks o.ä. verhindert.
Ich bin derzeit auf der Suche nach einer brauchbaren Lösung:
Eine Lösung wäre natürlich zu sagen, daß niemand mehr seine private Digitalkamera-Speicherkarte o.ä. an einen Rechner anschließen darf... ich denke diese Lösung ist leider nicht ganz durchzuhalten (gemeinnützige Einrichtung).
Jetzt bin ich am überlegen, ob es nicht eine einfach zu bedienende (am besten schnell bootende) Linux-Anti-Virus-Distribution gibt (welche sich bei jedem Bootup die neuesten Virensignaturen holt), wo man die Mitarbeiter dazu verdonnern könnte, daß sie, wenn sie nicht Einrichtungs-Eigene USB-Sticks anschließen (oder welche die außer Haus eingesetzt wurden), diese dort auf Viren überprüfen müssen...
Mir gefällt der Gedanke nämlich gar nicht, daß ein USB-Stick der vorher an einem fremden PC dran war, in unserem Einrichtungsnetzwerk angeschlossen wird...
Kennt jemand eine AntiViren-CD o.ä., welche man für diesen Zweck gut verwenden könnte? Oder hat jemand andere Tipps?
Es müsste natürlich einfach und schnell durchzuführen sein, ansonsten wird es ja doch möglicherweise wieder nicht zuverlässig gemacht
Gruß
Dieter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184949
Url: https://administrator.de/contentid/184949
Ausgedruckt am: 15.11.2024 um 01:11 Uhr
16 Kommentare
Neuester Kommentar
Einfach die USB's sperren lassen, gibt genügend Drittanbieter, die das können...
Lonesome Walker
Lonesome Walker
Hoi Kangaroo,
also im Ct war neulich eine Live-Linux CD speziell für die Viren-Suche.
Ist eig. recht einfach und unkompliziert.
Kannst es dir ja mal anschauen.
Wieso kannst du nicht verbieten, dass fremde USB-Sticks angeschlossen werden? Geht ja um die Sicherheit im Betrieb, da sollte sowas doch möglich sein oder?
Gruß
Schlumpf
also im Ct war neulich eine Live-Linux CD speziell für die Viren-Suche.
Ist eig. recht einfach und unkompliziert.
Kannst es dir ja mal anschauen.
Wieso kannst du nicht verbieten, dass fremde USB-Sticks angeschlossen werden? Geht ja um die Sicherheit im Betrieb, da sollte sowas doch möglich sein oder?
Gruß
Schlumpf
Naja eine "Vollsperre" ist nicht unbedingt wünschenswert... den einzigen Anbieter den ich finden konnte für ein "Whitelisting" von USB-Stick, das war "Device Control" von "Lumension"... gibt's da auch noch andere?
Nur, daß der Stick nicht der Einrichtung gehört, schließt auch nicht aus, daß er mal an einen nicht-einrichtungseigenen Rechner angeschlossen war. Man müsste also wirklich verbieten
- verwendet nur Einrichtungseigene USB-Sticks
- verwendet diese niemals an einem nicht-einrichtungseigenen Rechner
- macht Digitalfotos ausschließlich mit einrichtungseigenen Kameras
- verwendet einrichtungseigene Foto- und Videokameras NIE für private Zwecke
Und eines Tages fuhr der Chef zu einem Vortrag und sollte seine Präsentation auf einem USB-Stick mitbringen...
Nur, daß der Stick nicht der Einrichtung gehört, schließt auch nicht aus, daß er mal an einen nicht-einrichtungseigenen Rechner angeschlossen war. Man müsste also wirklich verbieten
- verwendet nur Einrichtungseigene USB-Sticks
- verwendet diese niemals an einem nicht-einrichtungseigenen Rechner
- macht Digitalfotos ausschließlich mit einrichtungseigenen Kameras
- verwendet einrichtungseigene Foto- und Videokameras NIE für private Zwecke
Und eines Tages fuhr der Chef zu einem Vortrag und sollte seine Präsentation auf einem USB-Stick mitbringen...
Moin,
das würde implementieren, dass sich alle User mit einem Live-Linux auskennen....
Ich kenne u.A. Desinfec´t, GData und Avira Boot-CD´s, bei denen muss man IMMEr das Definitionsupdate händisch anwerfen, bzw. wenn man einen Scan anstößt, wird es automatisch gemacht.
Das wird also ausfallen für dich.
Vielleicht liessen sich zumindest die Linux-Varianten so einstellen, dass das alles automatisch abläuft, aber dafür müsste man die Medien anpacken, das dürfte an deinen Kenntnissen scheitern.
Bliebe noch ein Test, wie sich div. rescue-CD´s bei Wechselmedien verhalten, aber auch da dürfte es an den Usern scheitern ("wo ist denn das Häkchen zum sicheren entfernen")....
Es läuft also auf eine Sperrung hinaus...
Gruß
Carsten
das würde implementieren, dass sich alle User mit einem Live-Linux auskennen....
Ich kenne u.A. Desinfec´t, GData und Avira Boot-CD´s, bei denen muss man IMMEr das Definitionsupdate händisch anwerfen, bzw. wenn man einen Scan anstößt, wird es automatisch gemacht.
Das wird also ausfallen für dich.
Vielleicht liessen sich zumindest die Linux-Varianten so einstellen, dass das alles automatisch abläuft, aber dafür müsste man die Medien anpacken, das dürfte an deinen Kenntnissen scheitern.
Bliebe noch ein Test, wie sich div. rescue-CD´s bei Wechselmedien verhalten, aber auch da dürfte es an den Usern scheitern ("wo ist denn das Häkchen zum sicheren entfernen")....
Es läuft also auf eine Sperrung hinaus...
Gruß
Carsten
Ich denke neben dem Problem "wie trimmt man so eine Distribution auf 'Vollautomatik'" ist viel wichtiger, daß ich mir nicht 'aufhalsen' wollte, diese Distribution dann immer zu pflegen... jedes mal wenn der AV-Hersteller ein neues Major-Release rausbringt, welches vom Updater-verhalten nicht mit der alten Variante Kompatibel ist o.ä., dann ist man erneut am schrauben
Wenn AV-CDs ordentlich implementiert sind, müssen die ein fs-sync machen, wenn sie mit dem Scan fertig sind...
Wenn AV-CDs ordentlich implementiert sind, müssen die ein fs-sync machen, wenn sie mit dem Scan fertig sind...
Moin
Ich verstehe den Ansatz nicht. Weil: Anwender sitzt vor seinem Rechner und will USB-Stick benutzen. In deinem Gedankengang wird der Benutzer nun seinen PC runterfahren, von einer Live-CD booten, das Scan-System aktualisieren, den Stick scannen und dann wieder sein Windows in Betrieb nehmen um den USB-Stick dann zu nutzen. Da kann ich nur sagen: Vergiss es. Das wird so niemals funktionieren.
Und selbst wenn das so funktionieren würde und der Faktor Mensch dir nicht einen Strich durch die Rechnung machen würde: Was hast du davon. Was sagt dir, dass die Live-CD ein besseres Scanergebnis liefert als der doch hoffentlich auf dem PC vorhandene Virenschutz ?
Wenn du es sicher machen willst, dann bleibt dir unterm Strich nur über, die Verwendung dieser Medien zu sperren. Über welches OS unterhalten wir uns da eigentlich überhaupt ?
Gruß
Hubert
Ich verstehe den Ansatz nicht. Weil: Anwender sitzt vor seinem Rechner und will USB-Stick benutzen. In deinem Gedankengang wird der Benutzer nun seinen PC runterfahren, von einer Live-CD booten, das Scan-System aktualisieren, den Stick scannen und dann wieder sein Windows in Betrieb nehmen um den USB-Stick dann zu nutzen. Da kann ich nur sagen: Vergiss es. Das wird so niemals funktionieren.
Und selbst wenn das so funktionieren würde und der Faktor Mensch dir nicht einen Strich durch die Rechnung machen würde: Was hast du davon. Was sagt dir, dass die Live-CD ein besseres Scanergebnis liefert als der doch hoffentlich auf dem PC vorhandene Virenschutz ?
Wenn du es sicher machen willst, dann bleibt dir unterm Strich nur über, die Verwendung dieser Medien zu sperren. Über welches OS unterhalten wir uns da eigentlich überhaupt ?
Gruß
Hubert
Hallo ,
Du kannst die Devices auch direkt in den Sicherheitseinstellungen deaktivieren.
Sonst kann ich Dir Sophos empfehlen , da gibt es auch Devicecontrol.
Ansonsten klare Richtlinien fuer die Benutzung der Rechner erstellen und vieleicht einen
extra Testrechner zur Devicekontroll einrichten wo die Sticks, CD's e.t.c ueberprueft
werden koennen.
Gruss
Du kannst die Devices auch direkt in den Sicherheitseinstellungen deaktivieren.
Sonst kann ich Dir Sophos empfehlen , da gibt es auch Devicecontrol.
Ansonsten klare Richtlinien fuer die Benutzung der Rechner erstellen und vieleicht einen
extra Testrechner zur Devicekontroll einrichten wo die Sticks, CD's e.t.c ueberprueft
werden koennen.
Gruss
Hallo zusammen
1. Wird kein User den Scan machen (Kenntnisse + es ist mühsam immer den PC runterfahren, scannen usw.)
2. Ist es eine Sache der Grund Policy. Grundsatz: Kein Wechseldatenträger kommt ins Netz welcher nicht authorisiert wird, alles andere ist Hobbybastlerei
adminst
1. Wird kein User den Scan machen (Kenntnisse + es ist mühsam immer den PC runterfahren, scannen usw.)
2. Ist es eine Sache der Grund Policy. Grundsatz: Kein Wechseldatenträger kommt ins Netz welcher nicht authorisiert wird, alles andere ist Hobbybastlerei
adminst
Vielleicht kommst Du zufrieden mit einem USB immunisier Tool?
Es gibt von Bitdefender oder vielleicht auch andere Hersteller.
Ich weiss nicht wie viel es nützt.
Ich nehme an es erstellt einen schreibgeschutztes Autorun.
Es gibt von Bitdefender oder vielleicht auch andere Hersteller.
Ich weiss nicht wie viel es nützt.
Ich nehme an es erstellt einen schreibgeschutztes Autorun.
Was ich irgendwie bei Allen hier Beteiligten nicht verstehe:
ich habe in meinem ersten Beitrag auf Drittanbieter verwiesen, da ich ungern Werbung für die Firmen mache.
Habt Ihr denn da alle nicht gegoogelt?
Wie sichert Ihr EUER Unternehmensnetzwerk ab?
Gar nicht?
Uralter Anbieter-Hut: USB-Device-Control
Lonesome Walker
ich habe in meinem ersten Beitrag auf Drittanbieter verwiesen, da ich ungern Werbung für die Firmen mache.
Habt Ihr denn da alle nicht gegoogelt?
Wie sichert Ihr EUER Unternehmensnetzwerk ab?
Gar nicht?
Uralter Anbieter-Hut: USB-Device-Control
Lonesome Walker
Danke für sämtliche Antworten.
Mir war bekannt, daß es Tools gibt um die Benutzung von (USB-)Datenträgern in irgendeiner Form einzuschränken. Ein "Wechseldatenträger komplett deaktivieren" wird nämlich wahrscheinlich nicht in allen Fällen durchzuhalten sein.
Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).
Ich schätze wir werden nicht darum herumkommen, in so ein Stück Software zu investieren
Mir war bekannt, daß es Tools gibt um die Benutzung von (USB-)Datenträgern in irgendeiner Form einzuschränken. Ein "Wechseldatenträger komplett deaktivieren" wird nämlich wahrscheinlich nicht in allen Fällen durchzuhalten sein.
Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).
Ich schätze wir werden nicht darum herumkommen, in so ein Stück Software zu investieren
Zitat von @flyingKangaroo:
Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).
Leider scheint es keine AV-Distribution zu geben, mit der sich so eine "Prüfstation" aufbauen ließe.
(an Reboot und boot der AV-Distribution von CD habe ich ohnehin nie gedacht - das macht wirklich niemand).
Wieso?
Nimm doch die knoppicillin/desinfect von der c't, installier sie auf eine Kiste, die die Scanstation sein soll und lass diese durchlaufen. Mit ein klein wenig Aufwand kannst Du das sogar so erweitern, daß jedes angeschlossene Wechselmedium sofort gescannt wird, anstatt das die Benutzer einen Klick machen müssen.
Das ist es doch, was Du wolltest.
lks
Zitat von @Lochkartenstanzer:
Nimm doch die knoppicillin/desinfect von der c't, installier sie auf eine Kiste, die die Scanstation sein soll und lass diese
durchlaufen. Mit ein klein wenig Aufwand kannst Du das sogar so erweitern, daß jedes angeschlossene Wechselmedium sofort
gescannt wird, anstatt das die Benutzer einen Klick machen müssen.
Nimm doch die knoppicillin/desinfect von der c't, installier sie auf eine Kiste, die die Scanstation sein soll und lass diese
durchlaufen. Mit ein klein wenig Aufwand kannst Du das sogar so erweitern, daß jedes angeschlossene Wechselmedium sofort
gescannt wird, anstatt das die Benutzer einen Klick machen müssen.
Bitte das korrekte und automatische Unmounten mit Signalisierung für den User dann aber nicht vergessen :-P
(sonst gibts Ärger wegen geschrotteten Speichermedien...)
Lonesome Walker
Zitat von @16568:
Bitte das korrekte und automatische Unmounten mit Signalisierung für den User dann aber nicht vergessen :-P
(sonst gibts Ärger wegen geschrotteten Speichermedien...)
Bitte das korrekte und automatische Unmounten mit Signalisierung für den User dann aber nicht vergessen :-P
(sonst gibts Ärger wegen geschrotteten Speichermedien...)
Ich gehe mal davon aus, daß derjenige, der es fertigbringt, die Medien beim Einlegen automatisch scannen zu lassen, auch das unmounten und signalisieren berücksichtigt.
lks
Damit das dann auch wirklich gemacht würde, müssten folgende Bedingungen erfüllt sein:
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").
Alles in allem glaube ich nicht, daß das so möglichst failsafe zu implementieren ist, OHNE eine solche Distribution größer anzufassen... von daher habe ich mich bereits gedanklich von so einer Lösung verabschiedet.
Trotzdem Danke für die Antworten.
PS: Eigentlich sollte ein 'rausrupfen' des Datenträgers wenn nur Leseoperationen vorangegangen sind, nicht zu Datenverlust führen...
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").
Alles in allem glaube ich nicht, daß das so möglichst failsafe zu implementieren ist, OHNE eine solche Distribution größer anzufassen... von daher habe ich mich bereits gedanklich von so einer Lösung verabschiedet.
Trotzdem Danke für die Antworten.
PS: Eigentlich sollte ein 'rausrupfen' des Datenträgers wenn nur Leseoperationen vorangegangen sind, nicht zu Datenverlust führen...
Zitat von @flyingKangaroo:
Damit das dann auch wirklich gemacht würde, müssten folgende Bedingungen erfüllt sein:
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es
aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen
welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die
Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").
Damit das dann auch wirklich gemacht würde, müssten folgende Bedingungen erfüllt sein:
- Die Maschine müsste schnell booten (wahrscheinlich also NICHT CD-Boot)
- Das Update der Virensignaturen müsste automatisch gehen (und es müsste groß angezeigt werden, daß es
aufgrund irgendeines Fehlers nicht funktioniert hat, und man so nicht weiter machen kann)
- Das Scannen der eigentlichen Datenträger darf höchstens einen Klick erfordern... also nicht erst auswählen
welcher Datenträger durchsucht werden soll... ansonsten könnte es passieren, daß die regelmäßig die
Systempartition durchsuchen und sich über die positive Auskunft freuen ("kein Virus gefunden").
Das kannst Du alles mit der "desinfect" von der ct kannst Du das alles machen. Du mußt die nur auf die Platte installieren/kopieren. Mit einem klick startet das automatische updaten und scannen udn am Schluß erhält man das Ergebnis vorgesetzt.
Alles in allem glaube ich nicht, daß das so möglichst failsafe zu implementieren ist, OHNE eine solche Distribution
größer anzufassen... von daher habe ich mich bereits gedanklich von so einer Lösung verabschiedet.
Aber die Desinfect scheinst Du Dir nicht angeschaut zu haben.
Trotzdem Danke für die Antworten.
PS: Eigentlich sollte ein 'rausrupfen' des Datenträgers wenn nur Leseoperationen vorangegangen sind, nicht zu
Datenverlust führen...
Wenn was gefunden wurde, kann je nach voreinstellugn auch geschrieben werden. Und manche filesysteme vermerken auch den zeitpunkt des letzten zugriffs in den Metadaten.
lks
