quadral 10 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 Hallo, ich würde gern mal von den Profis erfahren, wie sie die Nutzung von USB-Sticks und anderen Wechseldatenträgern handhaben. Bislang war die Nutzung bei uns stark eingeschränkt, aber mittlerweile meinen immer mehr Außendienstmitarbeiter ohne den Datenaustausch über diese Datenträger nicht mehr auskommen zu können. Wie wird der Kontamination von innen bei euch entgegen getreten? Sichert Ihr eure (nach außen hin abgeschotteten) Server mit Firewall und Virenschutz besonders ab oder baut ihr CD- und Disketten-Laufwerke aus und deaktiviert die USB-Ports der Clients. Ich bräuchte ein paar gute Argumente für die Geschäftsleitung oder funktionierende praktikable Lösungsansätze. danke quadral Zitieren Link zu diesem Kommentar
Caespar 10 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 Wer wirklich will, bekommt die gewünschte Datei auf sein System. Nix hilft, wenn die Einsicht nicht mitspielt. Bei meinem vorherigen Arbeitgeber wurden auch über Jahre USB Sticks ect. verboten, nun aber hat man sich auf mehr Aufklärung konzentriert und die User sensibilisiert für die Gefahren. Hat gelaufen bis zu meinem Abschied. Gruß Zitieren Link zu diesem Kommentar
quadral 10 Geschrieben 21. Januar 2007 Autor Melden Teilen Geschrieben 21. Januar 2007 Wer wirklich will, bekommt die gewünschte Datei auf sein System. Nix hilft, wenn die Einsicht nicht mitspielt. Bei meinem vorherigen Arbeitgeber wurden auch über Jahre USB Sticks ect. verboten, nun aber hat man sich auf mehr Aufklärung konzentriert und die User sensibilisiert für die Gefahren. Hat gelaufen bis zu meinem Abschied. Gruß Meine User klicken trotz Aufklärung alles, wirklich alles an. Ist ne Mischung aus Lernresistenz, Ignoranz und Trotz. Mir wäre eine wasserdichte technische Lösung am liebsten. Variante 1: Du kannst Deinen USB-Stick reinstecken wo Du willst, es tut sich nichts. Variante 2: Du kannst von Deinem USB-Stick anstarten was Du willst, aber Du kannst maximal Deinen eigenen Rechner schrotten. Praxisbeispiele? Bye quadral Zitieren Link zu diesem Kommentar
aligan 10 Geschrieben 28. Januar 2007 Melden Teilen Geschrieben 28. Januar 2007 Die beste Erfahrung die ich machen durfte: mir wurde es Erlaubt in der besonders gefährlichen Abteilung von XP auf ubuntu zu wechseln. Glaub mir, wenn sich einer mit LINUX nicht wirklich auskennt stirbt er drei Tode bis er was zum laufen bekommt! :D :D :D Gruss aligan P.S.: Wenn LINUX nicht hilft, gibts noch SOLARIS :cool: Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 28. Januar 2007 Melden Teilen Geschrieben 28. Januar 2007 Also ich teile keinen der Ansätze. Am gefährlichsten ist natürlich der Ansatz fehlendes KnowHow vorauszusetzen und auf Linux umzustellen (zumal das in den meisten Fällen unpraktikabel ist). Da wäre die Empfehlung auf Solaris umzurüsten gleichzusetzen mit - Setzt DOS ein - da wird USB nicht unterstützt. Die Frage ist immer erstmal: Wovor willst du dein Netzwerk schützen? Datenklau verhinderst du damit nicht - E-Mails sind so oder so bequemer! Virenschutz ist schon eher interessant. Um dich vor dem Einschleppen von Viren zu schützen ist das deaktivieren der USB Ports evt. eine zusätzliche Sicherheitsoption. Allerdings ist ja bekannt, daß die meisten Viren heutzutage aktiv sind (Infektion über Webseiten oder E-Mails. Selten Distribution über Wechseldatenträger). Um einen Virenscanner an den Clients kommst du nicht herum. Ist ja eh klar. Du musst also definieren, wen/was du vor wem/was schützen willst. Zitieren Link zu diesem Kommentar
aligan 10 Geschrieben 28. Januar 2007 Melden Teilen Geschrieben 28. Januar 2007 Da die Viren aktiv sind setzt man in sensibelen Umgebungen LINUX bei Clients ein um die Gefahr die vom User ausgeht Windowsviren über den Browser einzufangen vorzubeugen. ;) aligan Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 28. Januar 2007 Melden Teilen Geschrieben 28. Januar 2007 Da die Viren aktiv sind setzt man in sensibelen Umgebungen LINUX bei Clients ein um die Gefahr die vom User ausgeht Windowsviren über den Browser einzufangen vorzubeugen. ;) aligan Also qualifiziert ist das nicht, was du so rätst... Ich geh einfach mal davon aus, der Smiley soll die Ironie in der Aussage unterstreichen. Zitieren Link zu diesem Kommentar
aligan 10 Geschrieben 28. Januar 2007 Melden Teilen Geschrieben 28. Januar 2007 ...du sagst es!;) Ich weiss Linux ist hier falsch... Zitieren Link zu diesem Kommentar
quadral 10 Geschrieben 29. Januar 2007 Autor Melden Teilen Geschrieben 29. Januar 2007 Die Frage ist immer erstmal: Wovor willst du dein Netzwerk schützen? ... Du musst also definieren, wen/was du vor wem/was schützen willst. Die Außendienstmitarbeiter sind schon mal zwei Wochen unterwegs, in denen Sie keinen Kontakt zum Firmennetzwerk haben und somit auch ihre lokalen Virenscanner nicht upgedatet bekommen. Zufällig haben Sie einen ( u.U. privat beschafften) USB-Stick dabei, auf dem Sie alles bunkern, was ihnen nützlich erscheint. Das von dort auch schon mal Programme angestartet werden, nehme ich als gegeben hin. Und nun kommen Sie wieder in die Firma und klemmen ihren eventuell verseuchten Rechner ans Netz. Besonders findige starten auch schonmal eine Knoppix-CD und umgehen die letzten Hürden. (Ja ich weiß, könnte man im Bios verhindern) Also, was macht man mit solchen "Kollegen". Ich kann nicht alle vierteilen, die Kühltruhe ist schon voll.:( bye quadral Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 11. Februar 2007 Melden Teilen Geschrieben 11. Februar 2007 Die Außendienstmitarbeiter sind schon mal zwei Wochen unterwegs, in denen Sie keinen Kontakt zum Firmennetzwerk haben und somit auch ihre lokalen Virenscanner nicht upgedatet bekommen. Zufällig haben Sie einen ( u.U. privat beschafften) USB-Stick dabei, auf dem Sie alles bunkern, was ihnen nützlich erscheint. Das von dort auch schon mal Programme angestartet werden, nehme ich als gegeben hin. Und nun kommen Sie wieder in die Firma und klemmen ihren eventuell verseuchten Rechner ans Netz. Besonders findige starten auch schonmal eine Knoppix-CD und umgehen die letzten Hürden. (Ja ich weiß, könnte man im Bios verhindern) Also, was macht man mit solchen "Kollegen". Ich kann nicht alle vierteilen, die Kühltruhe ist schon voll.:( bye quadral Wie du selber Sagst: Bios Lock Dann ein Resetting des Betriebsystemes bei jedem Start mit einer Partition die Groß genug ist die arbeitsrelevanten Datein zu speichern. Eine Klausel erlassen dass Ausendienstmitarbeiten unter keinen Umständen irgendwelche Privaten Sache zu Verwenden haben auf den Laptops. Dann noch Eingeschränkte Benutzer Konten nein es ist keine Domäne Erforderlich und hier noch feinabstimmungen über die GPO. Virenkiller + Firewall. Und freu dich auf Longhorn Server da gibts dann die Health Policy Validation usw = ) ganz nettes Zeug = ) hoffe ich konnte dir mit ein Paar vorschlägen helfen. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 12. Februar 2007 Melden Teilen Geschrieben 12. Februar 2007 Also ich habe "Einlesestationen" geschaffen. Soll heißen: In jeder Abteilung gibt es einen besonders geschulten Mitarbeiiter, mit entsprechenden Berechtigungen, der notwendige Daten von externen Datenträgern einlesen kann. AD Mitarbeiter haben Firmennotebooks, die das Benutzerlaufwerk im Netz syncen. Da ist passiert alles automatisch :D. Wenn man dann noch eine professionelle Virenlösung einsetzt, hat man die Sicherheit, die man bekommen kann. 100% gibts da eh nicht. 100% hieße nämlich, alle Schotten komplett dicht zu machen und das ist wiederum nicht praktikabel. Greetings Ralf Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 12. Februar 2007 Melden Teilen Geschrieben 12. Februar 2007 alle Schotten komplett dicht zu machen und das ist wiederum nicht praktikabel. Greetings Ralf Fält mir grad eine sehr gemütliches Feature ein welches kommt ;D aber das trägt hier ja nicht zum Thema bei :/ RoDC = Read only Domain Controller Zitieren Link zu diesem Kommentar
Maze2k3 10 Geschrieben 28. Februar 2007 Melden Teilen Geschrieben 28. Februar 2007 es gib noch Lösungen bei denen der USB Stick bzw das USB Gerät im Allg. vorher beim Admin bekannt gemacht werden muss, sprich der User muss sein USB anmelden. das bietet den vorteil das man das gezielt freischalten kann. bedeutet halt aufwand aber bestimmt bequemer als User mit USB und User ohne Zitieren Link zu diesem Kommentar
quadral 10 Geschrieben 1. März 2007 Autor Melden Teilen Geschrieben 1. März 2007 es gib noch Lösungen bei denen der USB Stick bzw das USB Gerät im Allg. vorher beim Admin bekannt gemacht werden muss, sprich der User muss sein USB anmelden. Nutzt mir jetzt nicht so viel. Die Pappenheimer sind bekannt und würden auch eine Freischaltung erhalten. Es soll aber auch Software geben, die ein Protokoll der Dateien, die hin- und hergeschoben werden erstellt. Hilft zwar nicht gegen Schädlingsbefall aber schreckt vielleicht ein bischen ab. Hat jemand soetwas im Einsatz oder weis was genaueres? bye quadral Zitieren Link zu diesem Kommentar
lorip 10 Geschrieben 30. April 2007 Melden Teilen Geschrieben 30. April 2007 Hi, ich empfehle Dir, auf den AD-Laptops und auf den Arbeitsstationen der Mitarbeiter sog. PC-Wächtersoftware und/oder Wächterkarten einzusetzen. /zitat Variante 2: Du kannst von Deinem USB-Stick anstarten was Du willst, aber Du kannst maximal Deinen eigenen Rechner schrotten. Solche Software ist in der Lage, quasi einen Snapshot des Systemzustandes aufzunehmen und, je nach Wunsch, automatisiert bei jedem Neustart oder "auf Knopfdruck" diesen Zustand wiederherzustellen. Alltägliche Situation: Ein Mitarbeiter klickt irgendwelchen Mist an und fängt sich was ein ... der Rechner wird neugestartet und ist wieder sauber. So kann der Mitarbeiter weder sein AD-LapTop noch seinen Desktop-Arbeitsplatz wirklich schrotten. Es sei denn er ist ein Profi und hat böse Absichten, dagegen gibts natürlich keinen wirklichen Schutz. Aber gegen Otto-Normal-Daus hilft so ein Konzept ziemlich wirkungsvoll. Beispiele für solche Software: - GoBack von Norton / Dieses funktioniert sehr gut, hat allerdings den Nachteil, daß die gesamte Festplatte geschützt wird, so daß man sich Netzwerklösungen zum festen Abspeichern bearbeiteter Dateien ausdenken muß). - Drive von Dr. Kaiser / Dr. Kaiser Systemhaus GmbH: DRIVE-Software (hiermit kann jede gewünschte Partition geschützt werden) Meine persönliche Empfehlung: - Microsoft Shared Computer Toolkit (MSCT) Dieses setze ich zur Zeit erfolgreich sowohl beruflich als auch privat ein: Es macht die Systempartition gegen langfristige Änderungen immun, und "Nach dem Reboot ist alles wieder gut" (Werbeslogan einer Hardwarelösung, der Reborncard). Schadprogramme landen schlimmstenfalls auf der ungeschützten Datenpartition, sind dort aber weitestgehend unschädlich, da sie das System nicht dauerhaft infizieren können. Merke: Das MSCT kann nur auf Windows XP mit gültiger Lizenz eingesetzt werden, wird dafür aber kostenlos zur Verfügung gestellt. Es arbeitet zuverlässig und ist einfach zu handhaben. Man sollte bei Einsatz solcher Software natürlich den ShellFolders (vor allem dem Ordner "Eigene Dateien" andere Pfade verpassen. Sie soltlen auf einer ungeschützten Partition liegen, damit die Mitarbeiter nicht anfangen zu meckern. Beschreibung: Shared Computer Toolkit for Windows XP Download: Microsoft Shared Computer Toolkit for Windows XP Hoffe, das hat Dir weitergeholfen. Gruß, lorip Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.