Jump to content

Restriktionen im Firmennetzwerk


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich würde gern mal von den Profis erfahren, wie sie die Nutzung von USB-Sticks und anderen Wechseldatenträgern handhaben.

 

Bislang war die Nutzung bei uns stark eingeschränkt, aber mittlerweile

meinen immer mehr Außendienstmitarbeiter ohne den Datenaustausch über diese Datenträger nicht mehr auskommen zu können.

 

Wie wird der Kontamination von innen bei euch entgegen getreten?

 

Sichert Ihr eure (nach außen hin abgeschotteten) Server mit Firewall und

Virenschutz besonders ab oder baut ihr CD- und Disketten-Laufwerke aus und deaktiviert die USB-Ports der Clients.

 

Ich bräuchte ein paar gute Argumente für die Geschäftsleitung oder funktionierende praktikable Lösungsansätze.

 

danke

quadral

Link zu diesem Kommentar
Wer wirklich will, bekommt die gewünschte Datei auf sein System. Nix hilft, wenn die Einsicht nicht mitspielt. Bei meinem vorherigen Arbeitgeber wurden auch über Jahre USB Sticks ect. verboten, nun aber hat man sich auf mehr Aufklärung konzentriert und die User sensibilisiert für die Gefahren. Hat gelaufen bis zu meinem Abschied.

 

Gruß

Meine User klicken trotz Aufklärung alles, wirklich alles an. Ist ne Mischung aus Lernresistenz, Ignoranz und Trotz.

 

Mir wäre eine wasserdichte technische Lösung am liebsten.

Variante 1: Du kannst Deinen USB-Stick reinstecken wo Du willst, es tut sich nichts.

Variante 2: Du kannst von Deinem USB-Stick anstarten was Du willst, aber Du kannst maximal Deinen eigenen Rechner schrotten.

 

Praxisbeispiele?

 

Bye

quadral

Link zu diesem Kommentar

Also ich teile keinen der Ansätze.

 

Am gefährlichsten ist natürlich der Ansatz fehlendes KnowHow vorauszusetzen und auf Linux umzustellen (zumal das in den meisten Fällen unpraktikabel ist).

Da wäre die Empfehlung auf Solaris umzurüsten gleichzusetzen mit - Setzt DOS ein - da wird USB nicht unterstützt.

 

Die Frage ist immer erstmal: Wovor willst du dein Netzwerk schützen?

 

Datenklau verhinderst du damit nicht - E-Mails sind so oder so bequemer!

 

Virenschutz ist schon eher interessant.

Um dich vor dem Einschleppen von Viren zu schützen ist das deaktivieren der USB Ports evt. eine zusätzliche Sicherheitsoption.

Allerdings ist ja bekannt, daß die meisten Viren heutzutage aktiv sind (Infektion über Webseiten oder E-Mails. Selten Distribution über Wechseldatenträger).

 

Um einen Virenscanner an den Clients kommst du nicht herum. Ist ja eh klar.

 

Du musst also definieren, wen/was du vor wem/was schützen willst.

Link zu diesem Kommentar

 

Die Frage ist immer erstmal: Wovor willst du dein Netzwerk schützen?

...

Du musst also definieren, wen/was du vor wem/was schützen willst.

Die Außendienstmitarbeiter sind schon mal zwei Wochen unterwegs, in denen Sie keinen Kontakt zum Firmennetzwerk haben und somit auch ihre lokalen Virenscanner nicht upgedatet bekommen.

Zufällig haben Sie einen ( u.U. privat beschafften) USB-Stick dabei, auf dem Sie alles bunkern, was ihnen nützlich erscheint. Das von dort auch schon mal Programme angestartet werden, nehme ich als gegeben hin. Und nun kommen Sie wieder in die Firma und klemmen ihren eventuell verseuchten Rechner ans Netz.

Besonders findige starten auch schonmal eine Knoppix-CD und umgehen die letzten Hürden. (Ja ich weiß, könnte man im Bios verhindern)

Also, was macht man mit solchen "Kollegen". Ich kann nicht alle vierteilen, die Kühltruhe ist schon voll.:(

 

bye

quadral

Link zu diesem Kommentar
  • 2 Wochen später...
Die Außendienstmitarbeiter sind schon mal zwei Wochen unterwegs, in denen Sie keinen Kontakt zum Firmennetzwerk haben und somit auch ihre lokalen Virenscanner nicht upgedatet bekommen.

Zufällig haben Sie einen ( u.U. privat beschafften) USB-Stick dabei, auf dem Sie alles bunkern, was ihnen nützlich erscheint. Das von dort auch schon mal Programme angestartet werden, nehme ich als gegeben hin. Und nun kommen Sie wieder in die Firma und klemmen ihren eventuell verseuchten Rechner ans Netz.

Besonders findige starten auch schonmal eine Knoppix-CD und umgehen die letzten Hürden. (Ja ich weiß, könnte man im Bios verhindern)

Also, was macht man mit solchen "Kollegen". Ich kann nicht alle vierteilen, die Kühltruhe ist schon voll.:(

 

bye

quadral

 

 

Wie du selber Sagst: Bios Lock

 

Dann ein Resetting des Betriebsystemes bei jedem Start mit einer Partition die Groß genug ist die arbeitsrelevanten Datein zu speichern. Eine Klausel erlassen dass Ausendienstmitarbeiten unter keinen Umständen irgendwelche Privaten Sache zu Verwenden haben auf den Laptops. Dann noch Eingeschränkte Benutzer Konten nein es ist keine Domäne Erforderlich und hier noch feinabstimmungen über die GPO. Virenkiller + Firewall.

Und freu dich auf Longhorn Server da gibts dann die Health Policy Validation usw = ) ganz nettes Zeug = )

 

hoffe ich konnte dir mit ein Paar vorschlägen helfen.

Link zu diesem Kommentar

Also ich habe "Einlesestationen" geschaffen. Soll heißen: In jeder Abteilung gibt es einen besonders geschulten Mitarbeiiter, mit entsprechenden Berechtigungen, der notwendige Daten von externen Datenträgern einlesen kann.

AD Mitarbeiter haben Firmennotebooks, die das Benutzerlaufwerk im Netz syncen. Da ist passiert alles automatisch :D.

 

Wenn man dann noch eine professionelle Virenlösung einsetzt, hat man die Sicherheit, die man bekommen kann. 100% gibts da eh nicht. 100% hieße nämlich, alle Schotten komplett dicht zu machen und das ist wiederum nicht praktikabel.

 

Greetings Ralf

Link zu diesem Kommentar
  • 3 Wochen später...
es gib noch Lösungen bei denen der USB Stick bzw das USB Gerät im Allg. vorher beim Admin bekannt gemacht werden muss, sprich der User muss sein USB anmelden.

 

Nutzt mir jetzt nicht so viel. Die Pappenheimer sind bekannt und würden auch eine Freischaltung erhalten.

 

Es soll aber auch Software geben, die ein Protokoll der Dateien, die hin- und hergeschoben werden erstellt. Hilft zwar nicht gegen Schädlingsbefall aber schreckt vielleicht ein bischen ab.

 

Hat jemand soetwas im Einsatz oder weis was genaueres?

 

bye

quadral

Link zu diesem Kommentar
  • 1 Monat später...

Hi,

 

ich empfehle Dir, auf den AD-Laptops und auf den Arbeitsstationen der Mitarbeiter sog. PC-Wächtersoftware und/oder Wächterkarten einzusetzen.

 

/zitat Variante 2: Du kannst von Deinem USB-Stick anstarten was Du willst, aber Du kannst maximal Deinen eigenen Rechner schrotten.

 

Solche Software ist in der Lage, quasi einen Snapshot des Systemzustandes aufzunehmen und, je nach Wunsch, automatisiert bei jedem Neustart oder "auf Knopfdruck" diesen Zustand wiederherzustellen.

 

Alltägliche Situation: Ein Mitarbeiter klickt irgendwelchen Mist an und fängt sich was ein ... der Rechner wird neugestartet und ist wieder sauber.

So kann der Mitarbeiter weder sein AD-LapTop noch seinen Desktop-Arbeitsplatz wirklich schrotten. Es sei denn er ist ein Profi und hat böse Absichten, dagegen gibts natürlich keinen wirklichen Schutz.

Aber gegen Otto-Normal-Daus hilft so ein Konzept ziemlich wirkungsvoll.

 

Beispiele für solche Software:

- GoBack von Norton / Dieses funktioniert sehr gut, hat allerdings den Nachteil, daß die gesamte Festplatte geschützt wird, so daß man sich Netzwerklösungen zum festen Abspeichern bearbeiteter Dateien ausdenken muß).

- Drive von Dr. Kaiser / Dr. Kaiser Systemhaus GmbH: DRIVE-Software (hiermit kann jede gewünschte Partition geschützt werden)

 

Meine persönliche Empfehlung:

- Microsoft Shared Computer Toolkit (MSCT)

Dieses setze ich zur Zeit erfolgreich sowohl beruflich als auch privat ein:

Es macht die Systempartition gegen langfristige Änderungen immun, und "Nach dem Reboot ist alles wieder gut" (Werbeslogan einer Hardwarelösung, der Reborncard). Schadprogramme landen schlimmstenfalls auf der ungeschützten Datenpartition, sind dort aber weitestgehend unschädlich, da sie das System nicht dauerhaft infizieren können.

Merke: Das MSCT kann nur auf Windows XP mit gültiger Lizenz eingesetzt werden, wird dafür aber kostenlos zur Verfügung gestellt. Es arbeitet zuverlässig und ist einfach zu handhaben.

 

Man sollte bei Einsatz solcher Software natürlich den ShellFolders (vor allem dem Ordner "Eigene Dateien" andere Pfade verpassen. Sie soltlen auf einer ungeschützten Partition liegen, damit die Mitarbeiter nicht anfangen zu meckern.

 

Beschreibung:

Shared Computer Toolkit for Windows XP

 

Download:

Microsoft Shared Computer Toolkit for Windows XP

 

Hoffe, das hat Dir weitergeholfen.

 

Gruß, lorip

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...