Beveiliging tegen het kopieren van bestanden...

Mijn beste ervaring is "gewoon" een keer hard roepen dat het je niets kunt schelen wat ze thuis via bittorrent binnenhalen, maar dat jatten van kantoor een no-no is. Dan kan je beginnen met het wijzen op wetgeving, boetes, teksten in arbeidsovereenkomsten, etc. Als men echt wil, valt er altijd wel een kopie te trekken. Je moet anders of de boel onwerkbaar dicht op slot gooien, beginnend met desktopvirtualisatie, het niet kunnen mailen van attachments, geen toegang tot USB/firewire/etc, en een proxy met whitelist voor webverkeer. Lijkt me hier overkill. Sowieso ben je al te laat als het kopieren al grotendeels is gedaan.

Los daarvan: rechten beperken kan sowieso verstandig zijn, afhankelijk van organisatiegrootte en -type. Maar zodra je kunt openen/lezen en schrijftoegang hebt tot 'de buitenwereld', kan je kopieren/mailen. Waar men geen toegang nodig heeft wil je dus gewoon de leesrechten ontnemen. Zeker op de installers. Maar als gewoon kopieren van \Program Files\App\* genoeg is om thuis verder te gaan zal dat niet helpen.

Op eigen tools zijn er wel beveiligingen denkbaar door de code aan te passen en PKI / DRM / hardwarespecifieke serials etc. toe te gaan passen. Maar ook dat lijkt me overkill. Makkelijker is dan altijd een deel van de applicatielogica op de server laten draaien, of helemaal webbased werken. Voor wat betreft apps van derden: de installers niet toegankelijk voor eindgebruikers en de serials apart opslaan.

USB is uit te schakelen voor niet-geautoriseerde hardware, zie bijvoorbeeld http://diaryproducts.net/...indows/disable_usb_sticks Alle webmailsites (en bestand-deel-sites, etc.) blokkeren of iets dergelijks: gaat afhankelijk van het soort bedrijf en gebruiker amper werken, of je moet al met proxies met whitelists gaan werken.. En als je er van uit gaat dat men fysiek er een HDD bij schroeft om apps te jatten, dan helpt geen enkele softwarematige oplossing (behalve desktopvirtualisatie): zie mijn eerste zinnen.

Als je weet om wie het gaat: laat ze heel erg duidelijk, als het zo vevelend gaat ook schriftelijk, weten dat er vermoedens zijn van diefstal en dat bij bevestiging aangifte zal worden gedaan en dat er een seintje zal worden gestuurd naar de rechthebbenden van de software (bijv. via Brein). Maar dat soort teksten wil je natuurlijk eerst even langs een jurist laten gaan.

Afgezien van de "social engineering" truuks hierboven gegeven zijn er natuurlijk ook technische oplossingen te bedenken.

In de software die jullie zelf bouwen kun je een "phone-home" netwerkcall doen naar een server die ergens in een beveiligde ruimte staat. Aangezien jullie op kantoor hoogstwaarschijnlijk op een LAN zitten met een private subnet range, kan de software die server alleen vinden als de software op een PC draait binnen jullie kantoornetwerk. Server niet gevonden? Geef dan een melding dat de software niet buiten kantoor mag draaien. De "server" kan bestaan uit een simpel programmaatje die een kleine challenge handshake doet over een socket. Voor extra beveiliging kun je natuurlijk op basis van de computernaam / loginnaam / harddisk id etc.. een hash genereren en deze autoriseren op de server.

Een andere manier is om USB dongles aan te schaffen en deze in de maatwerk software te valideren. Als iemand zo'n persoonsgebonden dongle ontvreemt weet je in ieder geval wie de zaak wil gaan oplichten. Eventueel kun je dit combineren met het "server" concept voor extra veiligheid.

Natuurlijk zijn ook deze oplossingen niet waterdicht, maar het schrikt de meeste gebruikers voldoende af. Als je echt met packet sniffers en decompilers aan de slag gaat kom je vrijwel overal wel langs, maar deze skills bezitten niet veel mensen en het kost bovendien veel moeite.

Als je weet dat iemand stiekum software steelt, kun je die toch ook aanspreken?
Je hebt blijkbaar bewijzen.
Jurridisch sta je dan sterk genoeg voor direct ontslag, wat je als bedrijf toch al zou willen als diegene voor zichzelf wil beginnen.

Kwestie van USB mass storage driver onbruikbaar maken (kan zelfs via een GPO dacht ik))

Daarnaas gewoon het in bezit hebben van een usb stick op bedrijfsterrein verbieden alsmede lege cd roms etc etc. (evt uitzondering voor systeembeheer)

En uiteraard aankondigen dat mail gelogged wordt en attachments bekeken worden, mogen jokers de boel gewoon naar buiten mailen.

Je houdt het nooit tegen als men echt kwaad wil, je kan hooguit het moeilijker maken / keiharde sancties op zetten.

Het per mail (of andere wijze) versturen kan je eenvoudig blokkeren door beperkingen op te leggen aan de attachments:
-verbied het versturen/uploaden van exe bestanden (zorg natuurlijk dat archieven hier ook op gecontroleerd worden) voor alle protocollen.
-verbied het versturen/uploaden van met wachtwoord versleutelde archieven voor alle protocollen, tenzij mischien voor netwerkbeheerders aangezien je dat waarschijnlijk zelf wel af en toe gaat nodig hebben.

Als je iets van beveiliging hebt staan op je perimeter kan dat normaal niet echt een probleem zijn.

Het beste lijkt me echter zoals andere mensen die eerder gereplied hebben een dial-home functionaliteit inbouwen, die liefst ook nog de gebruiker controleert. (Kan je lekker nakijken wie wanneer ermee begint te werken ;-) )

Overigens, hebben die mensen zowiezo al niet een non-compete clause in hun contract staan? Dat soort zaken lijkt me toch vrij standaard en dan kunnen ze wettelijk gezien weinig doen, met of zonder jullie software.

Het is een Machine key, en die GPO zal je dus op de computer uit moeten voeren

Als je het per gebruiker wilt aanpassen, dan zou je naar commerciele producten als Sanctuary Device Control kunnen kijken. Gebruiken we hier al meerdere jaren tot volle tevredenheid.
Geeft je overigens ook de mogelijkheid om toegang tot andere devices uit te schakelen.

Ik zou het bij IT deponeren en daar eens aan een permanente oplossing werken. USB schijven sowieso uitsluiten. Een oplossing waar je ook aan kunt denken... Blokeer alle andere schijfletters dan de benodigde. Hebben ze een extra schijfletter nodig mogen ze naar de beheerder stappen met een goed excuus.....

atmoz schreef op vrijdag 10 september 2010 @ 08:40:
[...]


Ik wil het bij iedereen toepassen, maar ik wilde eerst gebruik maken van een test-gebruiker om te checken of het ook werkt. De personen die wel gebruik mogen maken van USB laat ik de 4 omzetten naar een 3.

Is het dan wel mogelijk? Het is toch gewoon maar een registry-key aanpassen, dat zou toch moeten gaan via een GPO op de domain controller?!


[...]


Goed idee met die schijfletters. Als het niet op de manier lukt hoe ik wil, dan ga ik dit gebruiken. Thanks.

Ik had zelf nog een idee om die 3 of 4 te veranderen doormiddel van een *.reg bestand. En dit dan via een script laten draaien als de users inloggen. Alleen moet je dan weer (tijdelijk) admin-rechten hebben om die key te mogen aanpassen. Misschien met een soort van "runas" en dan als admin laten veranderen...

Logon scripts draaien meestal onder het SYSTEM account. Als je het netjes met een GPO doet dan komt het in orde.

Software op een CD zetten en zelf gaan installeren op de PC's, of via een share waar jij alleen toegang tot hebt.
Vraag voor de meer ervaren mensen hier: Kan je dit niet met een softwaredistribbutie tool oplossen? Die dingen waarmee je updates op je clients forceert. Zo kan je misschien die tool access op een map geven waar alle andere systeemebruikers niet aan kunnen.

misschien eens beginnet met gpupdate /force?
kijk ook eens naar het resultaat van het uitvoeren van de GPO. Beginnen met GPresult geeft een basis...

Het lijkt een beetje dat de GPO niet toegepast wordt op de pc.

[ Voor 18% gewijzigd door Verwijderd op 10-09-2010 09:29 ]