[Security] USB pendrives

vrijdag 14 juni 2002 15:28

USb uitschakelen in bios werkt wel volgens mij, toetsenbord en muis worden namelijk niet door drivers bestuurd maar door de bios als deze op USB zitten.

Daarom doen die t ook op Windows NT4.

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

vrijdag 14 juni 2002 15:31

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 15:26 schreef its_me het volgende:
USb uitschakelen in bios werkt wel volgens mij, toetsenbord en muis worden namelijk niet door drivers bestuurd maar door de bios als deze op USB zitten.

Daarom doen die t ook op Windows NT4.

Bedankt voor de input, helaas hebben we dat dus al getest, maar wat jij beschrijft functioneert dus in dit netwerk niet helaas

Cheese, It's milk's leap towards immortality

Acties:

vrijdag 14 juni 2002 15:32

Op vrijdag 14 juni 2002 15:28 schreef Perseus het volgende:

[..]

Bedankt voor de input, helaas hebben we dat dus al getest, maar wat jij beschrijft functioneert dus in dit netwerk niet helaas

Hmm das idd minder.

Je wil dus de usb poort voor normale gebuikers afsluiten maar zelf weer kunnen unlocken?

Moet t iets hardwarematigs zijn of softwarematig?

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

EXCalibur_EeK

[EXC]EeK

Misschien Ps2 convertors kopen, dan kun je de muis aan de ps2 aansluiting aansluiten dacht ik. Daarna kun je wel usb uitzetten.

vrijdag 14 juni 2002 15:33

Acties:

vrijdag 14 juni 2002 15:35

Gaat zowieso niet lukken denk ik, de user trekt gewoon de muis uit zet een usb hub neer en slauit daar de pendrive + muis op aan.

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

Verwijderd

Dus er zitten geen floppy drives in die werkstations, en er kan geen email van buiten het bedrijf ontvangen worden?

Wat je wel kunt doen, is in het register aangeven welke drives beschikbaar zijn, of mooier nog, een policy die uitsluitend toegang tot de c: schijf en de bekende netwerkschijven toestaat.

En dat de beheerders deze policy niet hebben, tja, dat ligt dan voor de hand.

vrijdag 14 juni 2002 15:36

Acties:

vrijdag 14 juni 2002 15:37

Op vrijdag 14 juni 2002 15:35 schreef abreemjathuis het volgende:
Dus er zitten geen floppy drives in die werkstations, en er kan geen email van buiten het bedrijf ontvangen worden?

Zeer relevante vraag

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

EXCalibur_EeK

[EXC]EeK

-overbodig-

vrijdag 14 juni 2002 15:38

Acties:

Verwijderd

Als de gebruikers echt wat kwaads willen doen kunnen ze dat toch wel. Laat ze dan niet achter die desktop werken.

vrijdag 14 juni 2002 15:40

Acties:

Verwijderd

Op vrijdag 14 juni 2002 15:36 schreef its_me het volgende:

[..]

Zeer relevante vraag

Zeker een relevante vraag, want als de gebruiker wel de beschikking heeft over de floppy drive, en mail (met attachments) van buiten kan ontvangen, dan komen pr0n en virussen toch wel binnen.

vrijdag 14 juni 2002 15:42

Acties:

vrijdag 14 juni 2002 15:44

Op vrijdag 14 juni 2002 15:40 schreef abreemjathuis het volgende:

[..]

Zeker een relevante vraag, want als de gebruiker wel de beschikking heeft over de floppy drive, en mail (met attachments) van buiten kan ontvangen, dan komen pr0n en virussen toch wel binnen.

Maar dat is toch niet zn vraag

Hij wil zn USB kunnen afsluiten, voor floppy heeft hij een oplossing, dat zijn die floppy sloten.

en hij schrijft al: die niet in het LAN hangen

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

vrijdag 14 juni 2002 15:46

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 15:35 schreef abreemjathuis het volgende:
Dus er zitten geen floppy drives in die werkstations, en er kan geen email van buiten het bedrijf ontvangen worden?

Wat je wel kunt doen, is in het register aangeven welke drives beschikbaar zijn, of mooier nog, een policy die uitsluitend toegang tot de c: schijf en de bekende netwerkschijven toestaat.

En dat de beheerders deze policy niet hebben, tja, dat ligt dan voor de hand.

D'r zitten wel floppy's in de systemen. Ik weet dat het onmogelijk 100% veilig te maken is, maar wat ik wil voorkomen is dat iemand 128Mb aan rotzooi mee naar binnen sleep of heel veel bedrijfscritische infromatie mee naar buiten.

er is een verschil tussen 128Mb of 1,44Mb opslag

Het is dus een kwestie van de gebruikers niet meer kansen te geven dan strikt noodzakelijk is.

Cheese, It's milk's leap towards immortality

Acties:

vrijdag 14 juni 2002 15:47

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 15:42 schreef its_me het volgende:

[..]

Maar dat is toch niet zn vraag
Hij wil zn USB kunnen afsluiten, voor floppy heeft hij een oplossing, dat zijn die floppy sloten.

en hij schrijft al: die niet in het LAN hangen

Nou de pc's in m'n LAN wil ik zeker OOK voorzien van beveiliging om problemen te voorkomen

Cheese, It's milk's leap towards immortality

Acties:

Verwijderd

OK ok

Maar ik heb ook al een juist antwoord gegeven, policies...

It's a simple...disable toegang tot alle drives behalve c:

vrijdag 14 juni 2002 15:47

Acties:

vrijdag 14 juni 2002 15:53

Denk dat je t moet doen door in apparaatbeheer de usbpoort uit te schakelen. En dan natuurlijk de rechten van een user afpakken om daar in te komen.

Als jij er dan aan wil werken zet je de USB poorten gewoon ff aan. Ik heb ook ff gegoogled maar hier is idd niets over te vinden.

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties:

vrijdag 14 juni 2002 15:57

Voor de dorst

Er zijn wel tools die je kunt laten draaien waarmee je retricties op opslagmedia kunt afdwingen. X-Tra secure kan dat. (www.thunderstore.com). daarmee kun je alleen bijvoorbeeld toegang tot de C-schijf geven en network drives maar voor de rest weer verbieden.

Koffie en meer...

Acties:

vrijdag 14 juni 2002 15:58

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 15:53 schreef Masselink het volgende:
Er zijn wel tools die je kunt laten draaien waarmee je retricties op opslagmedia kunt afdwingen. X-Tra secure kan dat. (www.thunderstore.com). daarmee kun je alleen bijvoorbeeld toegang tot de C-schijf geven en network drives maar voor de rest weer verbieden.

Interessant. Ff lezen.....

Dit zijn overigens zijn dit allemaal software oplossingen. Niemand heeft ooit usb "locks" gezien zoals je die ook met floppy's hebt ?

Cheese, It's milk's leap towards immortality

Acties:

Verwijderd

Pff, dat zeg ik al een paar keer, policies....

vrijdag 14 juni 2002 15:59

Acties:

vrijdag 14 juni 2002 16:00

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 15:58 schreef abreemjathuis het volgende:
Pff, dat zeg ik al een paar keer, policies....

Tja policies. moek ook maar eens gaan proberen. Probleem is dat het hier soms ook W98/95 clients betreft en die zijn dus wat moeilijker te beveiligen

Ik bedoelde dus eigenlijk meer een hardware oplossing

Cheese, It's milk's leap towards immortality

Acties:

vrijdag 14 juni 2002 16:01

Voor de dorst

Op vrijdag 14 juni 2002 15:57 schreef Perseus het volgende:

[..]

Interessant. Ff lezen.....

Dit zijn overigens zijn dit allemaal software oplossingen. Niemand heeft ooit usb "locks" gezien zoals je die ook met floppy's hebt ?

Ik heb geen locks gezien, maar je zou een USB-token kunnen gaan gebruiken voor het aanmelden. halen ze die eruit dan lockt het systeem. De andere usb poort gebruik je dan voor het toetsenbord/muis. Zo heb je sterke authenticatie en het probleem met de USB opgelost. (als admin log je dan 'gewoon' met een wachtwoord in, en dan heb je je die USB poort weer beschikbaar.)

Koffie en meer...

Acties:

pistole

Frutter

Op vrijdag 14 juni 2002 15:58 schreef abreemjathuis het volgende:
Pff, dat zeg ik al een paar keer, policies....

inderdaad, policies. Ga even op zoek naar poledit.exe (waarschijnlijk op je installatie cd).
Dan hoef je niet te prutsen met 3rd party software

edit: en dat werkt ook prima op 95/98/Me

Ik frut, dus ik epibreer

vrijdag 14 juni 2002 16:04

Acties:

vrijdag 14 juni 2002 16:08

Rode ogen

Topicstarter

Op vrijdag 14 juni 2002 16:00 schreef Masselink het volgende:

[..]

Ik heb geen locks gezien, maar je zou een USB-token kunnen gaan gebruiken voor het aanmelden. halen ze die eruit dan lockt het systeem. De andere usb poort gebruik je dan voor het toetsenbord/muis. Zo heb je sterke authenticatie en het probleem met de USB opgelost. (als admin log je dan 'gewoon' met een wachtwoord in, en dan heb je je die USB poort weer beschikbaar.)

Kewl... klinkt goed

Heb je voorbeelden ? site ofzo ?

Cheese, It's milk's leap towards immortality

Acties:

vrijdag 14 juni 2002 16:09

Voor de dorst

Op vrijdag 14 juni 2002 16:04 schreef Perseus het volgende:

[..]

Kewl... klinkt goed

Heb je voorbeelden ? site ofzo ?

Wij zijn zelf reseller van eToken klik hier
en van de iKey klik hier

Koffie en meer...

Acties:

vrijdag 14 juni 2002 16:10

Op vrijdag 14 juni 2002 16:04 schreef Perseus het volgende:

[..]

Kewl... klinkt goed

Heb je voorbeelden ? site ofzo ?

Wel lastig als je zelf wil aanloggen MET pendrive

"If God wanted us to have unlimited free energy He would have put a giant fusion reactor in the sky"

Acties: