vantast
Goto Top

Sperrung von Wechseldatenträgern und Protokollierung bei erlaubtem Zugriff

Moin,

ich suche nach einer geeigneten Lösung um die Kontrolle über die Wechseldatenträger bei uns zu bekommen.
Zur Zeit nutzen wir das Device Control von Sophos, welches bei Sophos Enterprise mitgeliefert wird. Leider ist diese Lösung zum einen unzureichend und zum anderen leicht zu umgehen.
Gesucht ist also eine Lösung mit der generell alle USB-Datenträger als auch CD-Laufwerke, Bluetooth etc. gesperrt werden. Es sollen nur bestimmte verschlüsselte USB-Sticks nach Freigabe akzeptiert werden. Diese sollten nach Möglichkeit auch nur innerhalb der Domain funktionieren um einen Datenverlust zu verhindern.

Ich habe mir Securitydesk von Fair-Computer mal angesehen. Aber auch das erscheint mir noch etwas lückenhaft da ein User mit freigegebenem Stick die Daten auf einen betriebsfremden PC kopieren kann. Daher der Wunsch dass die Daten nur kopiert werden können sofern sich der PC auch in der Domain befindet. Securitydesk protokolliert zwar alles, aber eben nur innerhalb der Domain.

Natürlich bereiteten mir auch Dropbox und Co. Probleme. Natürlich könnte man Dropbox sperren. Aber das lässt sich ja einerseits umgehen und andererseits brauchen bestimmte Leute im Unternehmen so einen Dienst. Aber auch hier hätte ich schon gern die Kontrolle welche Daten da so das Unternehmen verlassen.

Wir nutzen Windows Server 2012R2 unter VMware und es geht um ca. 50 Clients und ca. 20 Notebooks.

Ich wäre echt dankbar für Vorschläge damit unser Datenschutz mal so langsam auf ein Fundament gestellt wird was die USB-Geräte angeht.

Gruß
vanTast

Content-Key: 300441

Url: https://administrator.de/contentid/300441

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: FFSephiroth
FFSephiroth 31.03.2016 um 10:58:24 Uhr
Goto Top
Schau dir mal egosecure an.
Mitglied: O-Marc
O-Marc 31.03.2016 um 11:12:14 Uhr
Goto Top
Moin,

ich kann Dir nicht auf alle Deine Anforderungen eine Lösung bieten, aber vielleicht hilft es trotzdem weiter.

Wir nutzen die G Data Endpoint Protection, die u.a. eine Gerätekontrolle beinhaltet. Das Ganze funktioniert auf Computer-Ebene, also nicht Benutzer-basiert.
Einstellbar sind "Kein Zugriff", "Nur lesen" und "Lesen / Schreiben" für die Kategorien "Floppy", "CD/DVD", "externe Speichermedien" und "Webcam".
Man kann gezielt bestimmte Datenträger anhand deren ID freigeben. Dann sind nur diese verwendbar. Des Weiteren kann man einstellen, dass ein Benutzer melden kann, wenn er Zugriff auf ein Gerät braucht.
Es wird allerdings nicht geloggt, wenn jemand auf ein Gerät zugreift.
Mir ist kein Weg bekannt, wie man diese Gerätesperre aushebeln könnte.

Sperren von Webseiten ist auch möglich mit der mitgelieferten Web-Inhaltskontrolle.
Da kann man die URLs von z.B. Dropbox, One Drive usw. auf eine Blacklist setzen. Wenn die URLs sich in der Realität ändern, muss man das aber von Hand angleichen. Beispielweise hieß One Drive früher ja Skydrive und war über skydrive.live.com erreichbar. Mittlerweile ist das onedrive.live.com und dass sich das geändert hat registriert G Data nicht.
Problem bei der Blacklist: Sie gilt unternehmensweit. Was drauf steht, kann nicht für einzelne Computer/Anwender freigegeben werden.


Beste Grüße
O. Marc
Mitglied: DerWoWusste
DerWoWusste 31.03.2016 aktualisiert um 11:17:57 Uhr
Goto Top
Hi.

Zu den Wechseldatenträgern finde ich mein Konzept gut: Bad-USB geskriptet abwehren (ab Windows 8)
Alles mit Bordmitteln. Allerdings benötigst Du bei den Clients mindestens Windows 8.
Mitglied: Dani
Dani 31.03.2016 um 13:25:24 Uhr
Goto Top
Moin vanTast,
wir schauen uns zur Zeit DriveLock an... funktioniert sowohl bei virtuellen Maschienen (sogar von VMWare empfohlen) und selbstverständlich auch an physikalischen Systemen.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 31.03.2016 aktualisiert um 14:01:49 Uhr
Goto Top
Moin Dani.

Falls Du meine Artikel und Methoden kennst: Mich würde interessieren, was Du an Drivelock, abgesehen von Win7-Unterstützung, als Mehrwert gegenüber meinem ansiehst.
Mitglied: vanTast
vanTast 31.03.2016 aktualisiert um 13:40:39 Uhr
Goto Top
Moin,

danke für die Tipps. Werde ich mir mal näher anschauen.
Die Variante von DerWoWusste ist elegant, scheitert aber leider an WIN8. Zur Zeit setzen wir noch WIN7 ein und bei der momentanen Lage sehe ich auch für WIN10 zur Zeit keine Notwendigkeit. Die anderen Vorschläge werde ich mir mal genauer anschauen.

Gruß
vanTast
Mitglied: Dani
Dani 01.04.2016 aktualisiert um 21:22:12 Uhr
Goto Top
Moin @DerWoWusste,
ich kenn deinen Artikel leider nicht im Detail. Uns geht es grob um
*tempräre Offlinefreigabe von USB-Sticks, um z.B. eine Präsentation auf das Notebook zu kopieren.
  • Kontrolle von WLAN, Blutooth, serielle Schnittstellen oder auch Brennfunktion an Hand von Benutzergruppen.
  • Auswertung der Ereignisse an Hand von (benutzerdefinierte) Filter bzw. Reports.
  • Mandantenfähigkeit wegen unseren Tocherfirmen.
  • Managementoberfläche für das Auftragsmanagement bzw. Helpdesk.


Gruß,
Dani