Daniel -MSFT- 129 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 (bearbeitet) Der Tipp aus dem Artikel war ja auch nicht für Windows 7: Die Informationen in diesem Artikel beziehen sich auf: • Microsoft Windows XP Home Edition • Microsoft Windows XP Professional • Microsoft Windows 2000 Advanced Server • Microsoft Windows 2000 Professional Edition • Microsoft Windows 2000 Server • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) • Microsoft Windows Server 2003, Standard Edition (32-bit x86) Seit Vista geht das direkt per GPO: http://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx bearbeitet 22. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 23. August 2014 Melden Teilen Geschrieben 23. August 2014 Der Tipp aus dem Artikel war ja auch nicht für Windows 7: Und der zweite Link aus dem von dir geposteten Link war auch für Server 2003: http://support.microsoft.com/kb/555324 Die Informationen in diesem Artikel beziehen sich auf: Microsoft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, Datacenter Edition Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems Seit Vista geht das direkt per GPO: http://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx So richtig komfortabel ist das nicht. Auszug aus dem Artikel: Für eine wirklich effektive Vorgehensweise müssen Sie die einzuschränkende Hardware finden. Außerdem können Sie die Eigenschaft auf kompatible IDs setzen. Diese beschreiben ebenfalls die Hardware und sind weniger spezifisch als das, was in Hardware-IDs zu finden ist. Sie könnten die Informationen in den kompatiblen IDs dazu verwenden, weitere ähnliche Hardware zu ermitteln und sie in die Liste der nicht zu verwendenden Elemente einzufügen. Diese Informationen sind nämlich weniger spezifisch und erzielen eventuell bessere Ergebnisse. Der Nachteil dabei ist natürlich, dass es zu unbeabsichtigten Einschränkungen kommen könnte. Und Devcon ist auch noch dabei: Wenn Sie statt des Geräte-Managers einen Befehl über die Befehlszeile verwenden wollen, um die Hardware-IDs oder Geräteklassen zu erfassen, werfen Sie einen Blick auf das Devcon-Befehlszeilen-Dienstprogramm unter support.microsoft.com/kb/311272. Das einschränken von USB ist immer noch vom BIOS aus die wirksamste und sauberste Lösung. Den Rechner muss ich sowieso anfassen, BIOS-Passwort verpassen und so weiter. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 23. August 2014 Melden Teilen Geschrieben 23. August 2014 (bearbeitet) Das ist kein Einschränken, sondern ein Abschalten dann. Da kannst Du auch Bauschaum in die Buchsen pusten. Sinnvoll ist das nicht, denn USB-Mäuse, Tastaturen, Scanner, Kameras, etc. können aus Geschäftsanforderungen heraus erforderlich sein. Und was soll das mit Komfort zu tun haben? Du sperrst zum Beispiel ganze USB-Klassen und erlaubst nur die in der Firma eingesetzten Geräte. Per GPO automatisch für alle betroffenen Clients. Devcon ist dort aufgeführt zum ERMITTELN der notwendigen IDs, wenn man nicht per Maus das über den Gerätemanager machen will. Wo ist da das Problem? Hast Du das überhaupt mal probiert oder reden wir hier über theoretische Vorbehalte? Ich habe das bei der Einführung von Vista oft live vorgeführt. Wenn ich mich recht erinnere, war das auch eine der Demos auf dem Launch. Auf jeden Fall kam das immer super beim Publikum an. bearbeitet 23. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 (bearbeitet) ein gewöhnlicher USBSticks lässt sich wohl relativ einfach so umprogrammieren, dass er sich als Keyboard ausgibt, damit als erlaubte Geräteklasse erkannt wird und dadurch Schadcode auf den Rechne bringen kann : In one demo, shown off at the Black Hat hackers conference in Las Vegas, a standard USB drive was inserted into a normal computer. Malicious code implanted on the stick tricked the machine into thinking a keyboard had been plugged in. After just a few moments, the "keyboard" began typing in commands - and instructed the computer to download a malicious program from the internet. ....the only protection he could advise was to simply be ultra-cautious when allowing USB devices to be connected to your machines. "Our approach to using USB will have to change," he told the BBC. http://www.bbc.com/news/technology-28701124 Carnivore bearbeitet 24. August 2014 von carnivore Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 Sinnvoll ist das nicht, denn USB-Mäuse, Tastaturen, Scanner, Kameras, etc. können aus Geschäftsanforderungen heraus erforderlich sein. Es gibt Firmen die haben nicht die Geschäftsanforderungen dass an allen Geräten alle USB-Anschlüsse funktionieren sollen, weil eben nicht jeder alles mögliche und unmögliche mit USB-Geräten tun können soll. Und ja, es ist für diese Geschäftsanforderungen komfortabel im BIOS alles abzuschalten. Und was soll das mit Komfort zu tun haben? Du sperrst zum Beispiel ganze USB-Klassen und erlaubst nur die in der Firma eingesetzten Geräte. Per GPO automatisch für alle betroffenen Clients. Devcon ist dort aufgeführt zum ERMITTELN der notwendigen IDs, wenn man nicht per Maus das über den Gerätemanager machen will. Ja, es ist in diesen Fällen ganz einfach komfortabel alles hart abzuschalten. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 Du kannst es genauso per GPO abschalten. Was ist also komfortabler: Manuell im BIOS von jedem Rechner eine Einstellung durchzuführen oder es automatisch per GPO zu setzen? Verstehst Du meinen Punkt jetzt? @Carnivore: Es geht hier um die Möglichkeit des Filterns von USB-Geräten. Du könntest damit auch nur Bekannte Tastaturen erlauben. Daher passt Dein Beispiel hier nicht so gut. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 Du kannst es genauso per GPO abschalten. Was ist also komfortabler: Manuell im BIOS von jedem Rechner eine Einstellung durchzuführen oder es automatisch per GPO zu setzen? Ich hatte es schon einmal geschrieben, ich muss eh an jedem PC das BIOS anfassen, also kann ich dort gleich abstellen. Deshalb ist es in diesem Fall komfortabel. Verstehst Du meinen Punkt jetzt? Ich glaube wir reden aneinander vorbei. Aber lass gut sein, hier soll es nicht um Kleinigkeiten gehen. Zitieren Link zu diesem Kommentar
Michi69 10 Geschrieben 24. August 2014 Autor Melden Teilen Geschrieben 24. August 2014 Servus........................ BSI habe ich mir angeschaut....................sieht gut aus, aber auch theoretisch USB im Bios deaktivieren sehr gut (allerdings bei lokalen Drucker , Tastatur und USB Dongle für die Fibu) fällt das bei einiigen System aus. Hatte ich aber nicht dran gedacht. Firewall ist o.k, wird regelmäßig von Zertifizierten Admin überprüft. ( *.Exe, *.zip, *.jar etc) werden geblockt ( Facebook Twitter etc werden eh geblcokt Ich habe ca 60 USer, und mein Chef gibt kein großes Geld für die It aus. Nur das notwendigste. Also versuche ich mir viel Arbeit zu vermeiden, indem ich in die Wurzel die Wurzeln des Problems Zeit investiere. Gruppenrichtlinien , Passwörter , Bildschrimschoner sind in Arbeit.....................aber es gibt auch bessere Gedanken wie die in meinem Kopf Besten Gedank für weitere Gedanken.................die helfen vielleicht auch anderen Merci............. PS: wir hatten von einem langjährigen hoch geschätzten Mitarbeiter die Situation, das der Kollege hochbrisante Dokumente auf einen USB Stick ( eingenäht in eine Frühstückstasche)gezogen hat. Er wollte diese zu Hause bearbeiten.......................ist durch Zufall aufgefallen. Da ist mein Chef sehr aufmerksam geworden...................und hat Zeit und Ressourcen bewilligt Zitieren Link zu diesem Kommentar
Michi69 10 Geschrieben 26. August 2014 Autor Melden Teilen Geschrieben 26. August 2014 So, die DVDs sind ausgebaut ( Treiber deaktiviert)..............wozu die Kollegen Zeit hatten. Unglaublich was alles auf so einer Scheibe ist............................ Für weitere Hilfen ...Ratschläge und Kritiken.................damkbar wie immer Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Moin, für diese Aufgabe würde ich an Deiner Stelle nicht mit den einzelnden Maßnahmen anfangen. Das ist zwar auch wichtig, aber aktionistisch. Ließ Dir die Konzepte durch: http://www.bfdi.bund.de/bfdi_wiki/index.php/Technische_und_organisatorische_Ma%C3%9Fnahmen schreib den ist-Zustand auf, formuliere den soll-Zustand (und geh damit zur GF) Hier gibt es eine kleine Hilfe für die Zustandsbeschreibungen: https://www.datenschutz-guru.de/2011/07/so-erstellen-sie-schnell-eine-ubersicht-der-masnahmen-nach-%C2%A7-9-bdsg-mit-muster/ und hier der Text, wie er im Gesetz steht (ok, Anlage zum Gesetz): http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Erst anschließend kannst Du anfangen und aus der Differenz zwischen ist und soll die Maßnahmen ableiten, die du dann priorisierst und abarbeitest. Michael Zitieren Link zu diesem Kommentar
Michi69 10 Geschrieben 27. August 2014 Autor Melden Teilen Geschrieben 27. August 2014 @Micha42...............besten Dank Ist und Sollzustand auf einer Liste mit Wertigkeiten zu bekommen ist eine Sache.....aber daraus praktische Schlüsse zu ziehen eine andere........Merci Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 30. August 2014 Melden Teilen Geschrieben 30. August 2014 Hi Leute, als BSI zertifizierter Auditor muss ich doch gleich mal meinen Senf dazu geben. Der Ansatz ein Sicherheitskonzept zu schreiben ist ja schon mal ausgesprochen gut. Aber, ein Sicherheitskonzept für ein Unternehmen ist keine technische Beschreibung zum Umgang mit USB-Anschlüssen, sondern eine strategisch/organisatorische Beschreibung der Vorgehensweise zur Umsetzung der Sicherheitsziele des Unternehmens, eventuell gewürzt um die technische Realisierung. Welche Sicherheitsziele wurden eigentlich von euren Chefs aufgestellt? Als erstes müssen die Kronjuwelen gefunden werden, nennt sich Einstufung von Informationen. Welche Informationen im Unternehmen sind wie schützenswert? Die Vorgehensweise um diese zu identifizieren gehört in das Sicherheitskonzept. Dann folgen die Vorgaben zum Umgang mit den Informationen in den verschiedenen Sicherheitsstufen. Wenn dann z.B. von der GL entschieden wurde, Informationen der Stufe "vertraulich" dürfen nicht auf externe Speichermedien verbracht werden, dann können wir uns über den Weg dorthin Gedanken machen. Wenn identifiziert wurde, welche Informationen immer verfügbar sein müssen, können wir uns Gedanken zu Datensicherung und Wiederherstellbarkeit machen. Wenn herausgefunden wurde, welche Informationen keinesfalls verfälscht werden dürfen, können wir uns Gedanken zu deren Schutz und Prüfung machen. Für alle weiteren Maßnahmen, Regelungen und den technischen Umsetzungen gilt selbiges. Technische Maßnahmen sind nicht Selbstzweck, sondern dienen der Umsetzung der Sicherheitsziele. Dieser zweite Teil des Sicherheitskonzeptes war wohl hier gemeint. Ich selbst tendiere hier zu eigenen, themenspezifischen Konzepten und Richtlinien. Kann man aber auch im globalen Konzept mit unterbringen. Wichtig ist, dass vor den technischen Umsetzungen dazu passende organisatorische Regelungen für die Mitarbeiter und auch die Administratoren von der GL herausgegeben werden. Sonst schimpfen wieder alle auf die pösen Admins und versuchen die Technik auszutricksen. Wenn für solch einen Versuch die Abmahnung droht, schaut das anders aus. Beispiel aus der Praxis: Richtlinie der GL zur Umgang mit Informationen, Daten der Stufe vertraulich oder höher und personenbezogene Daten dürfen nicht auf externe Datenträger verbracht oder per E-Mail an externe Stellen versandt werden...Ausnahmen werden durch die GL genehmigt. Um die Mitarbeiter vor versehentlichen Verstößen gegen diese Regelungen zu schützen, werden für Bedarfsträger hardwareverschlüsselte Sticks ausgegeben, die alleine an den Rechnern im Unternehmen verwendet werden dürfen. Technische Maßnahme hierzu war das Upgrade der Virenscanner-Software auf die Variante zum Management von Schnittstellen. Nur für die Seriennummern der intern gelisteten verschlüsselten USB-Sticks sind die Ports freigeschaltet, DVD-Brenner sind ebenfalls gesperrt. Am Thema Dropbox und Konsorten arbeite ich unterschiedlich. Hier ist vor allem die Unternehmenskultur und Schutzwürdigkeit der Information einzubeziehen. Zwischen alles erlauben, einbeziehen in den Geschäftsablauf, filtern von Informationen in der Firewall bis hin zur Sperrung der bekanntesten Dienste gibt es da alles. Hoffentlich liest jetzt auch jemand meinen Roman... Ciao Pitti Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. August 2014 Melden Teilen Geschrieben 30. August 2014 (bearbeitet) Hoffentlich liest jetzt auch jemand meinen Roman... Hab ich gelesen, danke dafür. :) bearbeitet 30. August 2014 von lefg Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. August 2014 Melden Teilen Geschrieben 30. August 2014 Ich ebenfalls. Hoffe nur, dass der TO das auch liest. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 30. August 2014 Melden Teilen Geschrieben 30. August 2014 gelesem und für "gut" befunden. Das ist dann die nächste Stufe... m Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.