USB-Sticks sperren mit Ausnahmen

lehrling84
Goto Top
Hallo zusammen,

ich bin auf der Suche nach einer Software, die es mir ermöglicht USB-Sticks zu sperren, aber bestimmte USB-Sticks zulässt (z.B. über VID oder PID).

Wir haben in der Firma Techniker-Laptops, die von externen Mitarbeitern benutzt werden und nicht ins Netzwerk sollen.
An diesen Laptops soll es ermöglicht werden, bestimmte USB-Sticks anzuschließen, wie z.B. von SanDisk, aber sonst keine.
Dafür bin ich nun auf der Suche, nach einer Software, mit der ich das bewerkstelligen kann.

Im Idealfall eine kostenlose Software, ist aber kein Muss.

Danke schonmal im voraus.

Content-Key: 1605455256

Url: https://administrator.de/contentid/1605455256

Ausgedruckt am: 10.08.2022 um 16:08 Uhr

Mitglied: St-Andreas
St-Andreas 10.12.2021 um 12:02:35 Uhr
Goto Top
Kann das Eure AV nicht?
Mitglied: Lehrling84
Lehrling84 10.12.2021 um 12:11:31 Uhr
Goto Top
Doch, da diese Laptops aber nicht ins Netzwerk sollen, muss eine andere Lösung her
Mitglied: St-Andreas
St-Andreas 10.12.2021 um 12:18:46 Uhr
Goto Top
Dann sollen die Laptops ohne Virenschutz genutzt werden?

Üblicherweise sollte es doch möglich sein, dass Euer AV auf Geräte die sich ausserhalb Eures Netzwerkes bewegen überwacht.
Mitglied: jsysde
jsysde 10.12.2021 um 12:27:11 Uhr
Goto Top
Mahlzeit.
Zitat von @St-Andreas:
[...]Üblicherweise sollte es doch möglich sein, dass Euer AV auf Geräte die sich ausserhalb Eures Netzwerkes bewegen überwacht.
Falsch. MUSS! ist hier der passende Begriff.

Cheers,
jsysde
Mitglied: jsysde
jsysde 10.12.2021 um 12:29:08 Uhr
Goto Top
Mahlzeit.
Zitat von @Lehrling84:
[...]ich bin auf der Suche nach einer Software, die es mir ermöglicht USB-Sticks zu sperren, aber bestimmte USB-Sticks zulässt (z.B. über VID oder PID).
Wird nicht funktionieren. Die USB-Sticks "vom Grabbeltisch im Baumarkt" melden sich mit einer generischen PID - diese kannst du entweder sperren oder zulassen, eine Differenzierung nach "Stick A darf, Stick B nicht" ist so nicht möglich. Selbst bei "namhaften" Sticks ist nicht ausgeschlossen, dass deren PID mit eines anderen Herstellers übereinstimmt.

Cheers,
jsysde
Mitglied: Lehrling84
Lehrling84 10.12.2021 um 12:39:42 Uhr
Goto Top
Eine direkte AV haben wir nicht soweit ich weiß, wir benutzen in der Firma Sophos, wenn ich das darüber sperren will bzw. bestimmte USB-Sticks erlauben will, muss der Laptop erstmal ins Netzwerk, damit ich die Regeln setzen kann, was aber nicht passieren soll!!!

Mir wurde nun die Aufgabe gegeben, eine passende Software zu finden, mit der man USB-Sticks sperren kann, aber mit Ausnahmen.

Wir können gern darüber diskutieren, ob man das mit Sophos irgentwie bewerkstelligen kann oder nicht, das hilft mir aber kein Stück weiter.
Mitglied: Lehrling84
Lehrling84 10.12.2021 um 12:42:46 Uhr
Goto Top
Zitat von @jsysde:

Mahlzeit.
Zitat von @Lehrling84:
[...]ich bin auf der Suche nach einer Software, die es mir ermöglicht USB-Sticks zu sperren, aber bestimmte USB-Sticks zulässt (z.B. über VID oder PID).
Wird nicht funktionieren. Die USB-Sticks "vom Grabbeltisch im Baumarkt" melden sich mit einer generischen PID - diese kannst du entweder sperren oder zulassen, eine Differenzierung nach "Stick A darf, Stick B nicht" ist so nicht möglich. Selbst bei "namhaften" Sticks ist nicht ausgeschlossen, dass deren PID mit eines anderen Herstellers übereinstimmt.

Cheers,
jsysde

Also heißt es, es ist nicht möglich USB-Sticks zu blockieren und nur USB-Sticks von einer Firma zu zulassen? Egal was man macht, es gehen entweder alle oder keiner.
Mitglied: Lehrling84
Lehrling84 10.12.2021 um 12:45:28 Uhr
Goto Top
Zitat von @St-Andreas:

Dann sollen die Laptops ohne Virenschutz genutzt werden?

Üblicherweise sollte es doch möglich sein, dass Euer AV auf Geräte die sich ausserhalb Eures Netzwerkes bewegen überwacht.

Ein direktes AV haben wir nicht, zumindest nicht das ich wüsste, wir benutzen Sophos.
Mitglied: jsysde
jsysde 10.12.2021 um 12:46:53 Uhr
Goto Top
Mahlzeit.
Zitat von @Lehrling84:
Also heißt es, es ist nicht möglich USB-Sticks zu blockieren und nur USB-Sticks von einer Firma zu zulassen? Egal was man macht, es gehen entweder alle oder keiner.
Jein - für manche Sticks, die sich mit individueller PID melden, klappt das sehr gut. Für die anderen, die sich alle mit der gleichen, generischen PID melden, hingegen nicht. Du müsstest also zusätzlich dafür sorgen, dass nur "geprüfte" USB-Sticks an den Rechner angeschlossen werden, also Sticks, die die IT besorgt und freigegeben hat. Alles andere wird gesperrt.

Aber selbst dann: Wenn sich ein Laptop-User privat einen baugleichen Stick kauft, wird der halt ebenfalls funktionieren, weil die PID identisch ist.

Anmerkung am Rande:
Ich halte das Vorgehen generell für falsch - nur, weil ein Stick per Software genehmigt ist, bedeutet das ja nicht, dass da keine Schadsoftware drauf sein kann. Die Vorgehensweise müsste eher so sein, dass schlicht jeder Stick beim Anstecken erstmal geprüft wird, bevor überhaupt ein Zugriff möglich ist. Das setzt natürlich eine auf allen Geräten bereitgestellte und zentral gemanagte AV-/Endpoint Security Lösung voraus.

Cheers,
jsysde
Mitglied: Lehrling84
Lehrling84 10.12.2021 um 12:58:42 Uhr
Goto Top
Persönlich verstehe ich es auch nicht, denn wie du schon sagst, kann sich jeder den selben USB-Stick holen und ihn dann anschließen, keine Frage.

Aber dazu muss ein DAU auch erstmal darauf kommen und dem entsprechend dafür auch Geld investieren.

Das sind Laptops, die von mehreren Leuten benutzt werden, die in die Firma kommen und sich einen abholen und dann wieder abgeben, wenn sie gehen. Die sollen dort nicht jeden USB-Stick einfach anschließen und benutzen können. Wenn mich nicht alles täuscht, lesen sie mit Datenloggern im haus auch irgentwas aus und übertragen dann die Daten.
Zitat von @jsysde:

Mahlzeit.
Zitat von @Lehrling84:
Also heißt es, es ist nicht möglich USB-Sticks zu blockieren und nur USB-Sticks von einer Firma zu zulassen? Egal was man macht, es gehen entweder alle oder keiner.
Jein - für manche Sticks, die sich mit individueller PID melden, klappt das sehr gut. Für die anderen, die sich alle mit der gleichen, generischen PID melden, hingegen nicht. Du müsstest also zusätzlich dafür sorgen, dass nur "geprüfte" USB-Sticks an den Rechner angeschlossen werden, also Sticks, die die IT besorgt und freigegeben hat. Alles andere wird gesperrt.

Aber selbst dann: Wenn sich ein Laptop-User privat einen baugleichen Stick kauft, wird der halt ebenfalls funktionieren, weil die PID identisch ist.

Anmerkung am Rande:
Ich halte das Vorgehen generell für falsch - nur, weil ein Stick per Software genehmigt ist, bedeutet das ja nicht, dass da keine Schadsoftware drauf sein kann. Die Vorgehensweise müsste eher so sein, dass schlicht jeder Stick beim Anstecken erstmal geprüft wird, bevor überhaupt ein Zugriff möglich ist. Das setzt natürlich eine auf allen Geräten bereitgestellte und zentral gemanagte AV-/Endpoint Security Lösung voraus.

Cheers,
jsysde

Persönlich verstehe ich es auch nicht, denn wie du schon sagst, kann sich jeder den selben USB-Stick holen und ihn dann anschließen, keine Frage.

Aber dazu muss ein DAU auch erstmal darauf kommen und dem entsprechend dafür auch Geld investieren.

Das sind Laptops, die von mehreren Leuten benutzt werden, die in die Firma kommen und sich einen abholen und dann wieder abgeben, wenn sie gehen. Die sollen dort nicht jeden USB-Stick einfach anschließen und benutzen können. Wenn mich nicht alles täuscht, lesen sie mit Datenloggern im haus auch irgentwas aus und übertragen dann die Daten.
Mitglied: LeReseau
LeReseau 11.12.2021 um 13:21:18 Uhr
Goto Top