kennwortschutz für usb stick
Hallo zusammen,
wir haben in unserem Arbeitsumfeld das Problem, dass viele User Ihre Daten einfach auf USB Sticks ziehen, um diese dann an einem anderen Ort (Zuhause) weiterbearbeiten zu können. Die Daten liegen also ungeschützt und nicht verschlüsselt auf dem USB Stick.
Meine 2 Fragen, die ich habe sind:
1) Wie kann ich es (per GPO) verbinden, dass die User überhaupt Ihre Daten auf USB Sticks schreiben können? USB muss dabei aber prinzipiell noch zur Verfügung stehen...
2) Wie kann ich es erreichen, dass die vorhandenen USB Sticks mit einem Kennwort abgesichert werden. Dabei geht es mir um den Stick selber - nicht die einzelnen Daten oder ein ZIP- Archiv auf dem Stick. Die Daten sollen erst sichtbat werden, wenn man ein Kennwort eingegeben hat. Die Daten sollten nach erfolgreicher Entschlüsselung im Vollzugriff stehen - also auf dem Stick verändert werden können.
Vielen Dank
Michael Student
wir haben in unserem Arbeitsumfeld das Problem, dass viele User Ihre Daten einfach auf USB Sticks ziehen, um diese dann an einem anderen Ort (Zuhause) weiterbearbeiten zu können. Die Daten liegen also ungeschützt und nicht verschlüsselt auf dem USB Stick.
Meine 2 Fragen, die ich habe sind:
1) Wie kann ich es (per GPO) verbinden, dass die User überhaupt Ihre Daten auf USB Sticks schreiben können? USB muss dabei aber prinzipiell noch zur Verfügung stehen...
2) Wie kann ich es erreichen, dass die vorhandenen USB Sticks mit einem Kennwort abgesichert werden. Dabei geht es mir um den Stick selber - nicht die einzelnen Daten oder ein ZIP- Archiv auf dem Stick. Die Daten sollen erst sichtbat werden, wenn man ein Kennwort eingegeben hat. Die Daten sollten nach erfolgreicher Entschlüsselung im Vollzugriff stehen - also auf dem Stick verändert werden können.
Vielen Dank
Michael Student
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 35315
Url: https://administrator.de/contentid/35315
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Zu 1): das würd' mich auch interessieren, ich wüsste da keinen Weg - schließlich ist der USB-Stick ein normales Laufwerk, damit auch schreibbar. Würde man per GPO das Ding nur Read-Only machen oder USB ganz verbieten, würde Dir das nicht nützen.
Zu 2): Wir lösen das mit TrueCrypt (http://www.truecrypt.org/), da kann man entweder den kompletten Stick oder eine virtuelle Partition verschlüsseln. Die ist dann nur per Passwort und/oder Pass-Datei zu öffnen. Kostet nix (Open Source), und IMHO eine der besten Lösungen, die ich in dem Bereich bisher getestet habe.
Grüßle
Lizzard
Zu 2): Wir lösen das mit TrueCrypt (http://www.truecrypt.org/), da kann man entweder den kompletten Stick oder eine virtuelle Partition verschlüsseln. Die ist dann nur per Passwort und/oder Pass-Datei zu öffnen. Kostet nix (Open Source), und IMHO eine der besten Lösungen, die ich in dem Bereich bisher getestet habe.
Grüßle
Lizzard
du kannst über die Datenträgerverwaltung unter Windows einen Buchstaben zuweisen .. wenn du dne Stick wieder in den selben PC schiebst hat er den selben buchstaben ... bei einem anderne PC muss man ihn aber wieder neu setzen.
zu den GPOs:
http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivie ...
viele Grüsse
zu den GPOs:
http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivie ...
viele Grüsse
Zum Einen gilt das, was Raphael schrieb, für den USB-Stick. Für TrueCrypt kannst Du das festlegen - es gibt da den "Traveler Disk Setup Wizard", der fragt genau diese Sachen ab - wahlweise taucht das TrueCrypt-Laufwerk dann immer unter demselben Buchstaben auf oder unter dem nächstbesten freien. Ist wirklich den Versuch wert, denke ich!
Kann man das mit den "Tipps" und "erlärungen" irgendwie ausschalten? ("how To" zerstört mir meinen link)
USB Sticks Deaktivieren
USB Sticks Deaktivieren
Zur Sperrung der USB-Sticks über GPO kann ich nichts sagen.
Die Daten auf USB-Sticks würde ich mit Challenger verschlüsseln. Diese Software arbeitet mit normalen Benutzerrechten. (Man will ja nicht das die Benutzer lokale Adminrechte bekommen müssen. ). Außerdem gibt es auch ein U3-Package. Das U3-Konzept ist sehr interessant. Mittlerweile ist der Preis der U3-Sticks vergleichbar mit normalen USB-Sticks. Die Software kann aber auch für normale USB-Sticks verwendet werden.
Die Admins können das verwendete Passwort zur Verschlüsselung vorgeben. Die Anwender können die Software in der Regel ohne Schulung bedienen. Es fällt praktisch kein Support an, was ich von keiner anderen Software her kenne - jedoch sehr wichtig finde!
Die Daten auf USB-Sticks würde ich mit Challenger verschlüsseln. Diese Software arbeitet mit normalen Benutzerrechten. (Man will ja nicht das die Benutzer lokale Adminrechte bekommen müssen. ). Außerdem gibt es auch ein U3-Package. Das U3-Konzept ist sehr interessant. Mittlerweile ist der Preis der U3-Sticks vergleichbar mit normalen USB-Sticks. Die Software kann aber auch für normale USB-Sticks verwendet werden.
Die Admins können das verwendete Passwort zur Verschlüsselung vorgeben. Die Anwender können die Software in der Regel ohne Schulung bedienen. Es fällt praktisch kein Support an, was ich von keiner anderen Software her kenne - jedoch sehr wichtig finde!
Doch das geht. Das geht sogar über Activce-Directory über den gesamten Forest ...
auf jeden User, auf jedes LW. Kostet zwar ein paar Mark-Fünfzig, aber es funktioniert tadellos in der gesamten Domäne.
Ich habs selbst in einer Schule in Betrieb (Schullizenz).
Text zum Produkt:
DeviceLock gibt Netzwerkadministratoren die Kontrolle daruber, welche Benutzer auf welche Laufwerke auf einem lokalen Rechner zugreifen konnen (Disketten, serielle und parallele Ports, magneto-optische Laufwerke, CD-ROMs, ZIPs, USB, FireWire usw.). Wenn DeviceLock einmal installiert ist, konnen Administratoren den Zugriff auf Diskettenlaufwerke, CD-ROMs oder alle anderen Laufwerke kontrollieren, abhangig von der Tageszeit und dem Wochentag. DeviceLock erweitert die Zugriffskontrolle fur Windows-Systemadministratoren und unterstutzt die Kontrolle der Verwendung von Wechselplatten. Es kann Netzwerk und lokale Rechner gegen Viren, Trojaner und andere bosartige Programme schutzen, die oft von Wechselplatten aus eingebracht werden. Netzwerkadministratoren konnen DeviceLock auch verwenden, um die Puffer von Speicherlaufwerken zu leeren. Fernsteuerung ist auch verfugbar. Bedenken Sie, dass beinahe 80% aller Sicherheitslucken von innen kommen! DeviceLock ist eine ideale Losung, um NT zu sichern und Ihre Netzwerkrechner gegen Attacken von innen zu schützen.
Hier der Link: http://www.protect-me.com/de/dl/
Herzl. Grüße vom Tegernsee (Obb)
"vagus"
auf jeden User, auf jedes LW. Kostet zwar ein paar Mark-Fünfzig, aber es funktioniert tadellos in der gesamten Domäne.
Ich habs selbst in einer Schule in Betrieb (Schullizenz).
Text zum Produkt:
DeviceLock gibt Netzwerkadministratoren die Kontrolle daruber, welche Benutzer auf welche Laufwerke auf einem lokalen Rechner zugreifen konnen (Disketten, serielle und parallele Ports, magneto-optische Laufwerke, CD-ROMs, ZIPs, USB, FireWire usw.). Wenn DeviceLock einmal installiert ist, konnen Administratoren den Zugriff auf Diskettenlaufwerke, CD-ROMs oder alle anderen Laufwerke kontrollieren, abhangig von der Tageszeit und dem Wochentag. DeviceLock erweitert die Zugriffskontrolle fur Windows-Systemadministratoren und unterstutzt die Kontrolle der Verwendung von Wechselplatten. Es kann Netzwerk und lokale Rechner gegen Viren, Trojaner und andere bosartige Programme schutzen, die oft von Wechselplatten aus eingebracht werden. Netzwerkadministratoren konnen DeviceLock auch verwenden, um die Puffer von Speicherlaufwerken zu leeren. Fernsteuerung ist auch verfugbar. Bedenken Sie, dass beinahe 80% aller Sicherheitslucken von innen kommen! DeviceLock ist eine ideale Losung, um NT zu sichern und Ihre Netzwerkrechner gegen Attacken von innen zu schützen.
Hier der Link: http://www.protect-me.com/de/dl/
Herzl. Grüße vom Tegernsee (Obb)
"vagus"
hallo miteinander
leider funktionieren alle tools die ihr beschrieben habt nicht bei unserer infrastruktur
die user die die usb sticks gebrauchen haben keine admin rechte und die software soll nicht auf den pc's sondern auf den sticks installiert sein.
habt ihr vielleicht noch andere tipps oder softwares auf lager?
oder kennt sich jemand mit den fingerprint usb sticks aus?
merci für eure bemühungen!!!
grüsse
leider funktionieren alle tools die ihr beschrieben habt nicht bei unserer infrastruktur
die user die die usb sticks gebrauchen haben keine admin rechte und die software soll nicht auf den pc's sondern auf den sticks installiert sein.
habt ihr vielleicht noch andere tipps oder softwares auf lager?
oder kennt sich jemand mit den fingerprint usb sticks aus?
merci für eure bemühungen!!!
grüsse
Also Challenger funktioniert bestimmt. Du installierst die Software auf dem USB-Stick. Danach kannst Du im Root vom Stick challenger.exe finden und starten. Bevor Du den gesamten Stick verschlüsselst, solltest Du die Kurzanleitung durchgehen und vor allem eigene Passwörter festlegen. Probiere es mal! Funktioniert wunderbar.
Zu deiner ersten Frage: Es gibt von Utimaco SafeGuard Advanced Security dass Modul P&P Management, ermöglicht eine zentrale Kontrolle über die Verwendung von USB-Geräten und ist meines Wissens nach auch stand alone erhältlich...
@ supaman denke dies meintest du, oder? Mit LanCrypt kannst du die Zugriffsrechte von Gruppen oder Usern festlegen. Die Daten werden verschlüsselt auf dem Server abgelegt und je nach Grp oder User sind Sie im Klartext sichtbar oder halt auch nicht.
;) sonnigen Gruesse
Tuffeline
@ supaman denke dies meintest du, oder? Mit LanCrypt kannst du die Zugriffsrechte von Gruppen oder Usern festlegen. Die Daten werden verschlüsselt auf dem Server abgelegt und je nach Grp oder User sind Sie im Klartext sichtbar oder halt auch nicht.
;) sonnigen Gruesse
Tuffeline
Irgendwie habe ich das Gefühl, dass ich die Problemstellung nicht verstehe. Um was geht es hier? Was für eine Lösung wird gesucht?
Übrigens @35010:
Mit Fingerprint-Sticks habe ich sehr schlechte Erfahrungen gemacht. Die Erkennungsrate war nicht immer zuverlässig. Außerdem sind entsprechende Sticks teurer als Standardsticks, die ja zu hauf angeschafft wurden (und jetzt wieder wegschmeisen?).
Am besten fand ich dann noch die Challenger-Lösung. Die Software arbeitet unabhängig von der verwendeten Stick-Hardware. Die Software muss nicht installiert, sondern nur auf dem Stick kopiert werden. Der Anwender kann sogar mit einfachen Gastrechten die Software benutzen. Er kann die Software also auch auf fremden Systemen nutzen. Es fallen praktisch keine Supportkosten an, da das Programm für den Anwender wirklich sehr einfach vorkonfiguriert werden kann. Die reine Benutzung ist ein Kinderspiel.
Die Anwender müssen zwar die Verschlüsselung starten, aber dafür können Sie nur die Dateien entschlüsseln, mit den Sie aktuell arbeiten wollen, was aus meiner Sicht ein wichtiger Sicherheitsaspekt ist.
Jede andere Lösung ist nur mit einer starren Netzwerkstruktur möglich. Unsere Mitarbeiter sind aber oft mal hier und mal da und müssen spontan Entscheidungen treffen. Wenn einmal das Firmennetz nicht vorhanden ist, sollten Sie trotzdem die Daten auf USB-Stick sichern können. Und das schöne an Challenger ist, dass verschlüsselte Dateien einfach per Email ausgetauscht werden können. Alles mit einem Programm!
Übrigens @35010:
Mit Fingerprint-Sticks habe ich sehr schlechte Erfahrungen gemacht. Die Erkennungsrate war nicht immer zuverlässig. Außerdem sind entsprechende Sticks teurer als Standardsticks, die ja zu hauf angeschafft wurden (und jetzt wieder wegschmeisen?).
Am besten fand ich dann noch die Challenger-Lösung. Die Software arbeitet unabhängig von der verwendeten Stick-Hardware. Die Software muss nicht installiert, sondern nur auf dem Stick kopiert werden. Der Anwender kann sogar mit einfachen Gastrechten die Software benutzen. Er kann die Software also auch auf fremden Systemen nutzen. Es fallen praktisch keine Supportkosten an, da das Programm für den Anwender wirklich sehr einfach vorkonfiguriert werden kann. Die reine Benutzung ist ein Kinderspiel.
Die Anwender müssen zwar die Verschlüsselung starten, aber dafür können Sie nur die Dateien entschlüsseln, mit den Sie aktuell arbeiten wollen, was aus meiner Sicht ein wichtiger Sicherheitsaspekt ist.
Jede andere Lösung ist nur mit einer starren Netzwerkstruktur möglich. Unsere Mitarbeiter sind aber oft mal hier und mal da und müssen spontan Entscheidungen treffen. Wenn einmal das Firmennetz nicht vorhanden ist, sollten Sie trotzdem die Daten auf USB-Stick sichern können. Und das schöne an Challenger ist, dass verschlüsselte Dateien einfach per Email ausgetauscht werden können. Alles mit einem Programm!
merci für die antwort...
den challenger habe ich auch schon ausprobiert, leider funktioniert diese software auch nicht so richtig.
den challenger habe ich auch schon ausprobiert, leider funktioniert diese software auch nicht so richtig.
Es gab immer wieder ein paar Kinderkrankheiten, aber mittlerweile läuft alles hervorragend.