Halford 10 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Hallo Boardgemeinde, wir setzen Gruppenrichtlinien (2k8) zum unterbinden des USB Wechselmedien und Speicher Einsatzes an Clients (W7) ein. CD FD usw. sind auch gesperrt über die Gruppenrichtlinien. Der Internet Explorer hat seinen Pacserver der auf einen squid-verbund zielt. Alles schön und gut, dachte ich zumindest. Ich bin als Normalsterblicher Benutzer ohne Adminrechte angemeldet. Wenn ich mein Samsung S3 über USB zum laden anstöpsel kommt die das Explorerfenster und vermeldet das das Gerät verbunden wurde. Zugriff klappt natürlich nicht (Zugriff verweigert). Soweit alles gut. Wenn ich jetzt aber im S3 unter Einstellungen, Weitere Einstellungen, USB-Tethering anstelle habe ich ein weiteres verbundenes Netz und kann z.b. mit Firefox oder Avantbrowser ohne Änderungen vorzunehmen direkt auf die Webseiten zugreifen die ich dank Proxy nie erreichen würde. Krass ist auch das wenn ich im Avantbrowser als User wohlgemerkt, unter Extras "Kein Proxy" auswähle komme ich sogar mit dem Internet Explorer am Proxy vorbei ... Erkannt wird das USB Modem als "ndis based internet sharing device" hat jemand eine Idee wie ich das für alle meine User dicht machen kann? (Class ID anyone? Ich hab nichts gefunden bei Google...) Am liebsten wäre es mir natürlich über Gruppenrichtlinie ohne Veränderungen an den ganzen Clients vorzunehmen. Ich hab mir mit Procmon und Procexp und co. von Mark Russinovich den Verbindungsaufbau etc. angeschaut, man sieht die Verbindungen zu 1.1.1.1- 1.1.1.5 das hängt mit dem Socketaufbau zum UMTS Provider zusammen. Beim anstecken tauchen kurz die "DeviceDisplayObjectFunction" fürs HinweisFenster auf und die WUDFHOST.exe Über Applocker die aussperren ist glaub ich keine Gute Idee... Es gibt ja auch angeschlossene Scanner und PKI Kartenleser ... Was meint ihr dazu und wie löst ihr das Sicherheitsproblem USB Tethering bei euch? Freue mich auf jede Art von Feedback / Ideen :-) Hal Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Bist du sicher kein lokaler Admin? Ich hab leider kein S3 gerade zur Verfügung. Aber mit iPhone klappt das bei mir nicht per USB Tethering am Laptop der auch per GPO "dicht" ist. Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 8. Januar 2013 Autor Melden Teilen Geschrieben 8. Januar 2013 (bearbeitet) Schränkt eure Gruppenrichtlinie die USB Devices auf Computer oder Benutzerebene ein? Hier muss ich leider mit Benutzerebene arbeiten, weil einige spezielle Anwender USB Datenträger zum Transfer von großen CAD Dateien benötigen ... Ich selbst bin jedoch nicht in der Sicherheitsgruppe. Meine Adminkennung verwende ich an einem separaten Client. Ich bin 100% als eingeschränkter User unterwegs. #Edit Die Sysinternals-Tools sind natürlich über "ausführen als admin" geöffnet. In der lokalen Administratorgruppe ist mein User nicht hinterlegt. Ich habe nach einem Neustart das gleich nochmal probiert und Screenshots gemacht. Facebook ist gesperrt, und man kommt mit dem Avant direkt drauf. Der IE kommt glaube ich drauf weil er durch das zweite Netz den Pacserver nicht auflösen kann und nach einigen Minuten aufgibt und auf die aktive Netzwerkverbindung (UMTS USB Modem im S3) schwenkt. Ich bin für jede Anregung zu dem Thema dankbar! Viele Grüße Hal bearbeitet 8. Januar 2013 von Halford Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Ist bei uns auf Computerebene gelöst. Ich bin mal gespannt was bei dir rumkommt. :) Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 8. Januar 2013 Autor Melden Teilen Geschrieben 8. Januar 2013 (bearbeitet) Ich kann mir nicht vorstellen das es ein Einzelproblem ist und das Sicherheitsrisiko finde ich schon sehr krass. S3 dran, USB Tethern an, Portable FTP App ziehen und feuer frei mit den Unternehmensdaten in die Wolke ... # edit Zu deinem "mit dem iPhone geht es nicht" hab ich gelesen das Apple den ODI statt NDIS verwendet. So steht kein vorgehaltener Treiber für das UMTS-NIC parat. bearbeitet 8. Januar 2013 von Halford Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Ah ok, danke für den Tipp. Hab bei mir auch kein iTunes drauf, das installiert glaube ich auch 1-2 Treiber für das iPhone. Evtl. liegt es auch daran. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Auch wenns dir nicht gefällt, aber die Lösung per GPO irgendwelche USB Devices zu verbieten wird immer wieder zu solchen Effekten führen. Ich sage den Kunden sowas vorab, damit hinterher nicht verwundert geschaut wird, wenn wieder ein neues Telefon/Kamera oder sonstwas eine Möglichkeit findet an den Einschränkungen vorbei zu gehen. Nimm dir eine Lösung die sich auf Device Prevention spezialisiert hat und gut. <img title=";)" class="bbc_emoticon" src="http://www.mcseboard.de/public/style_emoticons/default/wink.gif" data-cke-saved-src="http://www.mcseboard.de/public/style_emoticons/default/wink.gif" /> Kostet halt Geld. http://www.lumension.com/device-control-software/usb-security-protection.aspx wäre mal einen Blick wert.<br /><br />HTH<br />Norbert Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 Habe diesbezüglich vor einiger Zeit mal nachgeforscht und Windows bezüglich USB komplett abzuschotten ist gar nicht so einfach bis nahezu unmöglich. Solange die User aber eh auf irgend eine Weise Internetzugang bekommen können, ist es eh fragwürdig ob sinnvoll. Je nach dem wie gross die Firma und wie stark der Abschottungswunsch ist, könntest mit Teradici PCoIP das Problem erschlagen. Hier lassen sich auf Wunsch alle Geräte welche an den Client gestöpselt werden dürfen genau definieren, einzelne USB-Klassen ganz sperren etc. Im Extremfall darfst genau eine bestimmte Maus + Tastatur anstöpseln. Die PC's selbst stehen dann im Serverraum. Das ganze in einem vom LAN getrennten Netzwerk. Sprich alle zugänglichen Netzwerkbuchsen bieten nur eine Verbindungsmöglichkeit zu den oder sogar nur einem einzigen PCoIP-Host, nicht jedoch zum produktiven LAN. ABER: Günstig ist das mit ca. 600 Euro pro Arbeitsplatz mit physischer Maschine und bei Virtuellen via VmWare View ca. 300 + View + Windows VDA Lizenz nicht wirklich. ;) Nachteile: USB-Transfer ist grottenlahm, zumindest alles was auf Tera1 basiert. Tera2 verspricht hier Verbesserung, konnte ich aber noch nicht selbst testen in Ermangelung von Tera2 Hostkarten. Die 'einzelnen' User welche USB-Speed benötigen, bräuchten unter Umständen einen zusätzlichen USB-to-Lan Converter. Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 8. Januar 2013 Autor Melden Teilen Geschrieben 8. Januar 2013 Die Device Pro - Lösung von cynaps bekommt es auch nicht ausgesperrt. @'NorbertFe: setzt du die verlinkte Software ein und weist ob sie das USB Tethering auch unterbinden kann? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 wir setzen Gruppenrichtlinien (2k8) zum unterbinden des USB Wechselmedien und Speicher Einsatzes an Clients (W7) ein. CD FD usw. sind auch gesperrt über die Gruppenrichtlinien. Was meint ihr dazu und wie löst ihr das Sicherheitsproblem USB Tethering bei euch? Bei uns ist bei den alten Clients im Gerätemanager jeder USB-Controller, bzw. die Einträge darunter deaktiviert. Mit Hilfe der Devcon.exe von MS lässt sich das per Script regeln. http://blogs.technet.com/b/deploymentguys/archive/2009/12/16/where-to-find-devcon-exe.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. Januar 2013 Melden Teilen Geschrieben 8. Januar 2013 @'NorbertFe: setzt du die verlinkte Software ein und weist ob sie das USB Tethering auch unterbinden kann? Nein, hatte diverse Kunden, die sowas eingesetzt haben, aber ob das genau auf dieses von dir geschilderte Szenario paßt. Könnte man ja mal testen. Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 9. Januar 2013 Autor Melden Teilen Geschrieben 9. Januar 2013 Danke schon mal für die ganzen Anregungen, derzeit friemel ich mit Devcon rum. @NorbertFE: die Sales Truppe hat ne Mail von mir bekommen, wenn die Antworten und bestätigen das USB Tethering da geblockt wird, werd ich mir ein Angebot schicken lassen und die Infos mit euch teilen. Wenn jemand noch eine Idee hat, nur raus damit :-) Cheers Hal Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.