nd5000
Goto Top

Ist USB- Ports sperren noch aktuell?

Hallo,
ich würde mir gern mal ein paar Meinungen einholen. Ist das Sperren von USB Ports noch so relevant wie ich das ganze mal in der Ausbildung gelernt habe. Ich betreue eine Agentur mir 75 Clients, gemischt Windows und Mac. Aktuell blocke ich mit unserem AV Programm auf den Windows Geräten alle USB-Geräte, die nicht irgendwie nötig sind. Nun kommt es aber immerwieder vor, dass MA bei Kunden sind und USB Geräte (Beamersticks, USB Sticks vom Kunden etc.) anschließen wollen und das klappt dann natürlich nicht. Das ganze ist Gut für mich aber schlecht für den MA und sein Projekt, Pitch, Präsentation, etc. Wie geht ihr so damit um? Ist der Hauptverbreitungsweg nicht eh schon längst Mail, Dropbox und Co.?

Content-ID: 354227

Url: https://administrator.de/forum/ist-usb-ports-sperren-noch-aktuell-354227.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

anteNope
Lösung anteNope 09.11.2017 aktualisiert um 09:17:05 Uhr
Goto Top
Ich sperre keine USB-Anschlüsse bei meinen Kunden. Das macht einfach keinen Sinn mehr. Meist funktionieren Tastatur / Maus darüber und ist ja jetzt kein Ding an die aktiven Ports ein anderes Gerät anzuschließen ... (im Sinne von unbenutzte Ports im Bios deaktivieren).

Dann gibt es wiederum Software-Lösungen wie z.B. von Panda, die das auf der Ebene des Betriebssystems machen und dann irgendwie Windows im laufenden Betrieb den Zugriff verweigern ...

Zuletzt wären dann da noch das manuelle Gefummel in Windows, entweder per GPO oder per Treiber usw. so dass keine USB-Storage-Devices akzeptiert werden ...

Prinzipiell gibt es folgende Gründe für Sticks:

  • Internen Datenaustausch realisiert man am besten über die Netzlaufwerke, so dass die Mitarbeiter gar keine Interesse haben sich die Daten per USB-Stick zu geben. Dies setzt aber eine gute Rechtestruktur und Abbildung voraus, fehlt gewöhnlich bei kleinen und auch vielen größeren Unternehmen (da gibt es zum Teil abenteuerliche Gruppen-Konstrukte, dabei sind die Rechte unter Windows wirklich einfach ...)
  • Daten von externen Personen bei z.B. Präsentation, Messe, Kundenbesuch, Werbegeschenk usw. ... Hier hilft nur eine gute Schulung in Kombination mit einem potenten Virenschutz.Die USB-Angriffsvektoren sind eher veraltet und werden von aktuellen Virenscannern neutralisiert. Sprich ein Zwangsscan eines USB-Laufwerks beim Einstecken ist durchaus sinnvoll. Zur Schulung gilt wie auch für alles Andere: "Klick nicht jeden Mist an" und die "Datei-Art-Awareness" (aka. welche Dateiendungen sind zu meiden, welche sind ok).

Wenn es um den Bereich Forschung, Militär o.ä. fährt man eh ein Konzept mit maximaler Sicherheit (abgeschottete Räume, LAN, keine Verbindung zum Intra / Internet, Zugangskontrolle, Personenkontrolle, usw.). Hier geht es aber eher darum das Abgreifen von Daten zu verhindern). Ich beziehe mich auf "normales" operatives Geschäft.
anmelder
Lösung anmelder 09.11.2017 um 09:26:31 Uhr
Goto Top
Natürlich ist das noch aktuell. Vor ein paar Monaten gab es in der Ct einen Artikel den du gegen Bezahlung noch online finden wirst. Es ging um schädliche USB Geräte, die sich als harmlose Geräte tarnen und alle Arten von Angriffen auf Rechner durchführen müssen. Wenn man nicht jedem Kunden 100%ig vertrauen kann, und man muß auch mit Diebstahl oder Rechner vergessen rechnen, muß man davon ausgehen daß jemand ein schädliches Gerät anschließen könnte. Das gilt auch für WLAN.
Looser27
Lösung Looser27 09.11.2017 um 09:31:11 Uhr
Goto Top
Wenn man nicht jedem Kunden 100%ig vertrauen kann, und man muß auch mit Diebstahl oder Rechner vergessen rechnen, muß man davon ausgehen daß jemand ein schädliches Gerät anschließen könnte. Das gilt auch für WLAN.

Und deswegen gängelst Du Deine Kunden? Wärst Du mein Dienstleister, wärst Du es die längste Zeit gewesen.
133941
Lösung 133941 09.11.2017 aktualisiert um 09:33:07 Uhr
Goto Top
Hallo,

wir regeln das hier über Gruppenrichtlinien und können anhand einer Sicherheitsfilterung anweisen wer die Richtlinien bezieht.

Gruß

P.s.: Gut, das geht ntürlich nur eingeschränkt mit Mac's
nd5000
nd5000 09.11.2017 aktualisiert um 09:46:17 Uhr
Goto Top
Moin,
danke für deine Antwort anteNope.
Sperren über das BIOS, Treiber oder Windowsboardmittel sind für mich keine Option, dass ist einfach nicht verwaltbar und zu unflexibel.
Zentrale Datenablage und gutes Rechtekonzept ist vorhanden und intern gibt es keinen Grund diese nicht zu nutzen.
Das Sperren über die AV Software klappt schon gut und selbst USB Sticks die auf einer Whitelist stehen, werden jedes mal gescannt.

Wenn ich jetzt alle USB Ports freigebe, würden mir allerdings die ganzen Handy, die die Kollegen über USB laden schon sorgen machen.
Looser27
Lösung Looser27 09.11.2017 um 09:39:24 Uhr
Goto Top
Das Sperren über die AV Software klappt schon gut und selbst USB Sticks die auf einer Whitelist stehen, werden jedes mal gescannt.

Wo ist dann das Problem? Wenn jedes USB Gerät, welches eingesteckt wird zuerst auf Gefährungen gescannt wird, hast Du doch schon die halbe Miete.
nd5000
nd5000 09.11.2017 um 09:45:53 Uhr
Goto Top
Wo ist dann das Problem? Wenn jedes USB Gerät, welches eingesteckt wird zuerst auf Gefährungen gescannt wird, hast Du doch schon die halbe Miete.

Das Problem ist, dass neu Geräte, wenn sie nicht gerade eine Maus oder eine Tastatur sind perse geblockt werden. Das ist intern kein Problem, dann kann ich das Gerät ja einfach whitelisten, aber wenn einer meiner Kollegen beim Kunden ist, im Meeting sitzt und mit so einem USB Click to Share Ding präsentieren soll, dann kann ich nicht helfen.

Und leider sind Av Scanner ja nicht so aktuell wieder der neueste Virus...
DerWoWusste
Lösung DerWoWusste 09.11.2017 um 10:55:43 Uhr
Goto Top
Hi.

Das Thema ist sehr aktuell und sehr heikel. Will man die Funktionalität des Datenaustausches mit unbekannten Sticks vollständig erhalten, so lässt man zwangsläufig alle ernsthaften Schutzmechanismen fallen und vertraut nur noch auf den Virenscanner.

Somit musst Du Dir die Karten legen, was Du wo wirklich brauchst und alle Geräte, wo das nicht gebraucht wird, weiter absichern. Zum Absichern dienen

-GPOs, die an Wechselmedien Lese-Schreibzugriff (auch getrennt) blocken können, sowie Ausführzugriff
-GPOs, die Bitlockerverschlüsselung erfordern und dies auch auf bestimmte Geräte beschränken (Unternehmens-ID von Euch, ggf. Unternehmens-ID von Kunden, siehe auch USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
-Blocken von USB-Sticks, die sich als Tastatur ausgeben und Schadcode tippen (BadUSB/USB Rubberducky, siehe auch Bad-USB geskriptet abwehren (ab Windows 8) )
anteNope
Lösung anteNope 09.11.2017 aktualisiert um 11:02:12 Uhr
Goto Top
Das Problem ist, dass neu Geräte, wenn sie nicht gerade eine Maus oder eine Tastatur sind perse geblockt werden

Damit erreichst du natürlich maximalen Schutz. Ebenso wie als wenn du per Standard alle Programme erst Whitelisten müsstest, bevor diese ausgeführt werden können. Bei größeren Organisationen mit ausgewachsener IT macht das durchaus Sinn.

Wie wäre es mit folgenden Alternativen?!
  • Notebooks etwas mehr Freiheit geben. D.h. Storage blocken und den Rest den Nutzer selbst entscheiden lassen?
  • Notebooks für rein externen Gebrauch ohne Anbindung ans Firmennetzwerk und ohne sensible Daten?
  • Das Management für die Clients von extern verfügbar machen? Dann kann er dich anrufen und könnte die neue Konfig auch beim Kunden erhalten (wenn Internet vorhanden).

Ist halt die übliche Scheere zwischen maximaler Sicherheit und Komfort =)
maretz
Lösung maretz 09.11.2017 um 17:19:28 Uhr
Goto Top
Nun -hast du in deiner Ausbildung auch gelernt das es unterschiede gibt? Ich denke mal wenn z.B. der Chef eines Unternehmens was möchte ist es mit ziemlicher Sicherheit nicht aktuell die USB-Ports zu sperren ;). Ist es der reine Aussendienst-Mitarbeiter dann ggf. auch nicht. Ist es dagegen ein fester Büro-PC kann man da eher mal sperren....

Von daher denke ich das es nicht mit "Aktuell oder nicht" zu tun hat - sondern damit was benötigt wird und vorallem wo...
fredmy
Lösung fredmy 09.11.2017 um 18:22:42 Uhr
Goto Top
Hallo,
die Frage ist einfach zu beantworten face-smile

welchen Tod willst du sterben ?

Siehe Firmenpolicy usw. -> sicher und freizügig zusammen geht nicht - die Abstufungen dazwischen richten sich nach deiner Geldbörse, deinen Firmenansprüchen, deinen Netzstrukturen usw.
Bei ThinClients ist der Virus mit dem Ausschalten weg und es wird ein neues (saubers) Image gebootet (sollte so sein), bleibt der Schutz der Unternehmensdaten. Bei Verabeitung personenbezogener Daten siehts anders aus, als bei "unwichtigen" Daten .

Wo dazwischen du stehst, weißt du selbst besser .

Fred
nd5000
nd5000 10.11.2017 aktualisiert um 11:45:59 Uhr
Goto Top
Vielen Dank an alle die geantwortet haben!

Ich bin jetzt zwar nicht schlauer als Vorher, aber darum ging es auch garnicht. Ich sehe mich genau in der Schere zwischen Sicherheit und Komfort, wie es viele hier beschrieben haben und solang ich es verargumentieren kann, werde ich weiter alles blocken was geht.
Viel mehr fühle ich mich bestätigt das USB vllt. vieleicht nicht mehr der Hauptverbreitungsweg ist, aber dennoch Aufmerksamkeit verlangt.
Also bin ich jetzt wohl doch schlauer als Vorher.

In diesem Sinne.
Roland567
Roland567 13.11.2017 um 09:50:31 Uhr
Goto Top
Hallo zusammen,

es geht ja nicht immer nur um das Thema Virus/Ransomware und was es nicht so alles gibt.
Es geht bei uns auch darum, dass keine vertrauliche Daten auf einem USB-Stick kopiert und diesen dann vielleicht dummerweise verliert oder geklaut wird.
Wir lassen in der Regel nur USB-Stick's zu, welche eine Hardwareverschlüsselung haben.
Und wir blockieren am USB-Slot NUR die Storage-Devices; also Tastatur und Maus und was es nicht so alles gibt, funktioniert weiterhin ohne Probleme.

Freundliche Grüsse
Roland
nd5000
nd5000 26.01.2018 um 12:09:03 Uhr
Goto Top
Hallo,

Roland, genau diese System habe ich auch etabliert udn es klappt ganz gut.

Danke und Gruß
Nico