Sperrung von Wechseldatenträgern und Protokollierung bei erlaubtem Zugriff

Mitglied: vanTast

vanTast (Level 2) - Jetzt verbinden

31.03.2016 um 10:25 Uhr, 2256 Aufrufe, 7 Kommentare

Moin,

ich suche nach einer geeigneten Lösung um die Kontrolle über die Wechseldatenträger bei uns zu bekommen.
Zur Zeit nutzen wir das Device Control von Sophos, welches bei Sophos Enterprise mitgeliefert wird. Leider ist diese Lösung zum einen unzureichend und zum anderen leicht zu umgehen.
Gesucht ist also eine Lösung mit der generell alle USB-Datenträger als auch CD-Laufwerke, Bluetooth etc. gesperrt werden. Es sollen nur bestimmte verschlüsselte USB-Sticks nach Freigabe akzeptiert werden. Diese sollten nach Möglichkeit auch nur innerhalb der Domain funktionieren um einen Datenverlust zu verhindern.

Ich habe mir Securitydesk von Fair-Computer mal angesehen. Aber auch das erscheint mir noch etwas lückenhaft da ein User mit freigegebenem Stick die Daten auf einen betriebsfremden PC kopieren kann. Daher der Wunsch dass die Daten nur kopiert werden können sofern sich der PC auch in der Domain befindet. Securitydesk protokolliert zwar alles, aber eben nur innerhalb der Domain.

Natürlich bereiteten mir auch Dropbox und Co. Probleme. Natürlich könnte man Dropbox sperren. Aber das lässt sich ja einerseits umgehen und andererseits brauchen bestimmte Leute im Unternehmen so einen Dienst. Aber auch hier hätte ich schon gern die Kontrolle welche Daten da so das Unternehmen verlassen.

Wir nutzen Windows Server 2012R2 unter VMware und es geht um ca. 50 Clients und ca. 20 Notebooks.

Ich wäre echt dankbar für Vorschläge damit unser Datenschutz mal so langsam auf ein Fundament gestellt wird was die USB-Geräte angeht.

Gruß
vanTast
Mitglied: FFSephiroth
31.03.2016 um 10:58 Uhr
Schau dir mal egosecure an.
Bitte warten ..
Mitglied: O-Marc
31.03.2016 um 11:12 Uhr
Moin,

ich kann Dir nicht auf alle Deine Anforderungen eine Lösung bieten, aber vielleicht hilft es trotzdem weiter.

Wir nutzen die G Data Endpoint Protection, die u.a. eine Gerätekontrolle beinhaltet. Das Ganze funktioniert auf Computer-Ebene, also nicht Benutzer-basiert.
Einstellbar sind "Kein Zugriff", "Nur lesen" und "Lesen / Schreiben" für die Kategorien "Floppy", "CD/DVD", "externe Speichermedien" und "Webcam".
Man kann gezielt bestimmte Datenträger anhand deren ID freigeben. Dann sind nur diese verwendbar. Des Weiteren kann man einstellen, dass ein Benutzer melden kann, wenn er Zugriff auf ein Gerät braucht.
Es wird allerdings nicht geloggt, wenn jemand auf ein Gerät zugreift.
Mir ist kein Weg bekannt, wie man diese Gerätesperre aushebeln könnte.

Sperren von Webseiten ist auch möglich mit der mitgelieferten Web-Inhaltskontrolle.
Da kann man die URLs von z.B. Dropbox, One Drive usw. auf eine Blacklist setzen. Wenn die URLs sich in der Realität ändern, muss man das aber von Hand angleichen. Beispielweise hieß One Drive früher ja Skydrive und war über skydrive.live.com erreichbar. Mittlerweile ist das onedrive.live.com und dass sich das geändert hat registriert G Data nicht.
Problem bei der Blacklist: Sie gilt unternehmensweit. Was drauf steht, kann nicht für einzelne Computer/Anwender freigegeben werden.


Beste Grüße
O. Marc
Bitte warten ..
Mitglied: DerWoWusste
31.03.2016, aktualisiert um 11:17 Uhr
Hi.

Zu den Wechseldatenträgern finde ich mein Konzept gut: https://www.administrator.de/wissen/usb-stick-verschl%C3%BCsselung-unter ... und https://www.administrator.de/wissen/bad-usb-geskriptet-abwehren-ab-windo ...
Alles mit Bordmitteln. Allerdings benötigst Du bei den Clients mindestens Windows 8.
Bitte warten ..
Mitglied: Dani
31.03.2016 um 13:25 Uhr
Moin vanTast,
wir schauen uns zur Zeit DriveLock an... funktioniert sowohl bei virtuellen Maschienen (sogar von VMWare empfohlen) und selbstverständlich auch an physikalischen Systemen.


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
31.03.2016, aktualisiert um 14:01 Uhr
Moin Dani.

Falls Du meine Artikel und Methoden kennst: Mich würde interessieren, was Du an Drivelock, abgesehen von Win7-Unterstützung, als Mehrwert gegenüber meinem ansiehst.
Bitte warten ..
Mitglied: vanTast
31.03.2016, aktualisiert um 13:40 Uhr
Moin,

danke für die Tipps. Werde ich mir mal näher anschauen.
Die Variante von DerWoWusste ist elegant, scheitert aber leider an WIN8. Zur Zeit setzen wir noch WIN7 ein und bei der momentanen Lage sehe ich auch für WIN10 zur Zeit keine Notwendigkeit. Die anderen Vorschläge werde ich mir mal genauer anschauen.

Gruß
vanTast
Bitte warten ..
Mitglied: Dani
01.04.2016, aktualisiert um 21:22 Uhr
Moin @DerWoWusste,
ich kenn deinen Artikel leider nicht im Detail. Uns geht es grob um
*tempräre Offlinefreigabe von USB-Sticks, um z.B. eine Präsentation auf das Notebook zu kopieren.
  • Kontrolle von WLAN, Blutooth, serielle Schnittstellen oder auch Brennfunktion an Hand von Benutzergruppen.
  • Auswertung der Ereignisse an Hand von (benutzerdefinierte) Filter bzw. Reports.
  • Mandantenfähigkeit wegen unseren Tocherfirmen.
  • Managementoberfläche für das Auftragsmanagement bzw. Helpdesk.


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server8 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 18 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 21 StundenFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 20 StundenFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 18 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Router & Routing
Lokale Subnetze für VLANs unterbinden
fnbaluVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, die letzten Tage hatte ich vor mein Netzwerk über die pfSense weiter abzusichern, indem ich die "Gäste" gegenüber den anderen Subnetzen sperre, ...