Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Так это ж у злоумышленника должны быть права добавлять драйверы в систему. 17.10.06 19:57 Число просмотров: 3196
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
<sysadmin>
|
Закрыть USB порты 17.10.06 17:46 [HandleX]
Автор: DamNet <Denis Amelin> Статус: Elderman
|
ДД Коллеги, вот руководство подкинуло комплекс задач по предотвращению кражи информации
все задачи в принипе просто решаемы, кроме той, что бы предотвратить скачивание информации через USB (флэшки и тому подобное)
Если кто сталкивался с хардварным/софтварным решением этой проблемы прошу поделиться =)
из хардварного нашел только вот: http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их у нас можно купить.
Важное замечание: на фирме используются также и USB мыши и клавы (клав честоговоря нету, но вдруг появятся)
И предпочтительно естественно софтварному решению проблемы
Заранее спасибо
|
|
самый простой способ... 03.11.06 12:49
Автор: torch Статус: Незарегистрированный пользователь
|
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
самый простой способ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start значение 4
|
|
Всем спасибо, много чего интересного почерпнул 01.11.06 13:45
Автор: DamNet <Denis Amelin> Статус: Elderman
|
Но вот в догонку еще усложним задачу
Прдположим я закрыл все USB каким-либо из предыдущих методов... но!
Очень хотелось бы все-таки это дело не то чо бы контролировать, а присекать =)
Предположим пользователь заранее уведомлен о том что ользоваться флешками, дисками и дискетами запрещено, но есть у него некийц смысл все таки воткнуть флешку... и вот хотелось бы что бы пользователь когда фтыкает флеху или еще что-то подобное, например отправлялось письмо или некоторое сообщение (тотже Windows Messendger) администратору...
Заранее спасибо
З.Ы. предложенные варианты пока не пробовал, нужно еще недельку-две все посмотреть
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
>
> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.
>
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы
>
> Заранее спасибо
|
|
Уф, какая полемика разразилась, пока в отпуск съездил! 01.11.06 12:59
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.11.06 13:02 Количество правок: 1
|
Уф, какая полемика разразилась, пока я в отпуск съездил!
Уж как-то раз поднимали здесь аналогичную, достаточно интересную тему защиты инфы от инсайдеров. Не могу удержаться от участия в обсуждении, поскольку вижу, что тема уходит "вглубь". Нельзя только защитив УСБ порты от накопителей "спать спокойно". Если уж защищать, то и файрваре, дисководы, пишущие сидюки. Этого всего очень мало! После принятия этих мер можно опять же потерять бдительность! Можно не усмотреть огромную брешь - интернет (электронную почту и не только ее)!
Ну, допустим прикрыли все! Даже блоки на замОк закрыли и печатью опечатали! А злоумышленник пришел с ноутбуком или наладонником, втыкнул эзернетку в него и все укачал!
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
Правильно, нужно искать комплекс мер по предотвращению...
> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.
Лучше сделать так, чтоб даже при открытых УСБ портах никто ничего ценного стырить не смог.
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы
А принтерные порты не забыли. Есть такие девайсы - накопители с параллельным интерфейсом, ЗИПы, насколько помнится.
> Заранее спасибо
Еще при выходе турникет с сильным магнитным и электростатическим полем, чтоб дискеты размагничивались, а флэшки стирались. Только предупредительную табличку не проходной надо повесить.
Ну и не забыть про фотографирование экрана на камерофон с отправкой по ММС.
И все равно, на лист А4 на принтере с разрешением 600дпи можно 4 мегабайта распечатать с последующим сканированием и переводом в бинарник. Так что злоумышленник дыру найдет. Другим путем надо идти, товарищи!
|
| |
Прежде всего, напомню, что технические мероприятия без... 01.11.06 15:10
Автор: Garick <Yuriy> Статус: Elderman
|
Прежде всего, напомню, что технические мероприятия без регламентных бесполезны.
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
Прописывается в регламент отвественный(-ые) за носители и только у него есть пишущие устройства.
> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Формируются отдельные рабочие места, неподключенные к корпоративной сети и "шарятся" для сотрудников.
> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!
Умный свитч с МАС фильтром.
> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.
> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
Принт сервера, да и без них не обойтись, при контроле за движением инфы.
> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.
На некоторых режимных объектах есть входной и выходной контроль. Нет необходимости натягивать секретный колпак на всю организацию, а выделить только участки. Но проблема в том, что не многие компании имеют достаточную зрелость для того, что бы проанализировать информационные потоки (а перед этим формализировать бизнес процессы). Не говоря уже о том, что бы оценить существующую систему безопасности и выработать решения по ее усилению.
Но у незрелой компании не могут быть большие запросы по безопасности, она не способна активно генерировать конфенденциальный трафик (нет сертификатов, статусов и тд).
Как правило идут "шпионские страсти", которые приводят к полумерам, больше устрашающие для офисных ламеров. Некторая (а абсолютной не бывает) безопасность таким образом и обеспечивается.
> Другим путем надо идти, товарищи!
каким? эти пути давно прописаны....только надо поискать:-)
|
| |
Всю внешнюю почту прикрываем, внутреннюю логируем и например... 01.11.06 14:06
Автор: DamNet <Denis Amelin> Статус: Elderman
|
> Уф, какая полемика разразилась, пока я в отпуск съездил!
> Уж как-то раз поднимали здесь аналогичную, достаточно
> интересную тему защиты инфы от инсайдеров. Не могу
> удержаться от участия в обсуждении, поскольку вижу, что
> тема уходит "вглубь". Нельзя только защитив УСБ порты от
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Всю внешнюю почту прикрываем, внутреннюю логируем и например на определенные слова тоже можно отлавливать
> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!
Ну для этого просто можно запретить доступ анонимным юзверям в сеть (к компу/серверу)
для Вай Фай использовать ауентификацию по маку и шифрование
Но конечно вероятность такого проникновения возможна..
>
> > ДД Коллеги, вот руководство подкинуло комплекс задач
> по
> > предотвращению кражи информации
> > все задачи в принипе просто решаемы, кроме той, что бы
> > предотвратить скачивание информации через USB (флэшки
> и
> > тому подобное)
> > Если кто сталкивался с хардварным/софтварным решением
> этой
> > проблемы прошу поделиться =)
>
> Правильно, нужно искать комплекс мер по предотвращению...
>
> > из хардварного нашел только вот:
> > http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел
> где их
> > у нас можно купить.
>
> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.
>
> > Важное замечание: на фирме используются также и USB
> мыши и
> > клавы (клав честоговоря нету, но вдруг появятся)
> > И предпочтительно естественно софтварному решению
> проблемы
>
> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
>
> > Заранее спасибо
>
> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.
тоже конечно вариант, только как дискеты для налоговой проносить? :) и руководство например тоже флэшками пользуется )
> Ну и не забыть про фотографирование экрана на камерофон с
> отправкой по ММС.
> И все равно, на лист А4 на принтере с разрешением 600дпи
> можно 4 мегабайта распечатать с последующим сканированием и
> переводом в бинарник. Так что злоумышленник дыру найдет.
> Другим путем надо идти, товарищи!
для принтеров есть PrinterActivity monitor, тоже можно просмотреть кто когда и зачем +)
|
|
В прошлом году написал сервис - "отключалку" USB +... 26.10.06 09:35
Автор: OlegY <Oleg Yurchenko> Статус: Registered
Отредактировано 26.10.06 09:39 Количество правок: 1
|
В прошлом году написал сервис - "отключалку" USB + ЛОГ-сервер. Для получения доступа к к USB сделал простенький клиент кот. запускается только под админом.
В сервисе использовал довольно "грязный" хак: в цикле постоянно запрещаю старт USB storage driver
(в HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR\Start = 4) и дергаю CM_Request_Device_Eject если нахожу подключенный USB диск.
Как это сделать более красиво не нашел, хотя искал и спрашивал по моему даже здесь в этом форуме.
|
|
А не заблокировать ли загрузку конкретного драйвера флешей -... 25.10.06 09:36
Автор: lazy_anty Статус: Незарегистрированный пользователь
|
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы
А не заблокировать ли загрузку конкретного драйвера флешей - удалением файла или назначением прав доступа к файлу драйвера? Второе предпочтительнее, чтобы админ, например, мог работать с флешкой, а юзер - нет.
|
| | |
Теперь читаем. Как универсальное средство не прокатит,... 03.11.06 12:32
Автор: lazy_anty Статус: Незарегистрированный пользователь
|
|
Теперь читаем. Как универсальное средство не прокатит, очевидно.
|
|
Сожалею, что решение как-то "в бок ушло", но имхо, единственное правильное - только давить на персонал -- пробить от шефа подписку о неразглашении, иначе... Дуралеи - в любом случае протупят, а "умники" - в любом - сработают... А жаль. 21.10.06 03:24
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
|
|
Могу подкинуть собственный скрипт. Ток на 9x работать не... 20.10.06 13:00
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:06 Количество правок: 2
|
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
Если win системы....
Могу подкинуть собственный скрипт. Ток на 9x/ME работать не будет.
Может отключать почтилюбыеустройства (Flash/USB/CD/DVD/Floppy/HDD и т.д. =)
удалённо или готов работать через GP
Внедрён в одной компании. Проблем не было...
ЗЫЖ Да... И ещё... Если юзеры локальные админы и хорошо знают винды - могут обойти...
|
| |
на чем скрипт? vbs? может тогда прям сюда выложишь? 20.10.06 13:37
Автор: DamNet <Denis Amelin> Статус: Elderman
|
|
|
| | |
Ещё просьба: отписаться о результатах.... =) 20.10.06 13:58
Автор: ... Статус: Незарегистрированный пользователь
|
|
|
| | |
Да... Надеюсь тут за это не убивают: 20.10.06 13:42
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:53 Количество правок: 2
|
Да... Надеюсь тут за это не убивают:
Одно условие - плиз не менять без уведомления =)
Вставить в файл devcontrol.wsf
OpenSource.....=)
Ах да - тут log не поддерживается... Если принципиально - допишу...
----------------------------------------------
<package>
<job id="Device Control">
<runtime>
<description>
Device-driver control
Programmed by ... 15.07.2006
Mail to: kirw@mail.ru
...Thanks for Microsoft...
</description>
<named
name = "Host"
helpstring = "Host name ('.' for local host)"
type = "string"
required = "true"
/>
<named
name = "Device"
helpstring = "Device name"
type = "string"
required = "true"
/>
<named
name = "Mode"
helpstring = "Device startup mode [Boot | System | Automatic | Manual | Disabled]"
type = "string"
required = "true"
/>
<named
name = "Provider"
helpstring = "Provider [Service | Registry] [default Service]"
type = "string"
required = "false"
/>
<named
name = "Alerts"
helpstring = "Alerts and warnings [All | Errors | None] [default All]"
type = "string"
required = "false"
/>
<named
name = "Log"
helpstring = "Log to [None | EventLog | FileName] [default None]"
type = "string"
requred = "false"
/>
<example>
Examples:
Disable USB Mass-storage devices on comp-1 with only errors messages:
devcontrol.wsf /Host:comp-1 /Device:USBStor /Mode:Disabled /Alerts:Errors
Disable CD-ROM on local host through registry:
devcontrol.wsf /Host:. /Device:Cdrom /Mode:Disabled /Provider:Registry
</example>
</runtime>
<script language="JScript">
try {
// if (WScript.Arguments.Length<3|WScript.Arguments.Length>4)
// throw("@Arg");
var oHost = parseArg("Host");
var oDeviceName = parseArg("Device");
var oMode = parseArg("Mode", undefined, "boot", "system", "automatic", "manual", "disabled");
var oAlerts = parseArg("Alerts", "all", "all", "errors", "none");
var oProvider = parseArg("Provider", "service", "service", "registry");
if (!doConnect(oProvider, oHost))
throw(Error("connect failed"));
if (!doJob(oProvider, oDeviceName, oMode))
throw(Error("can't change device start mode"));
say("complete");
WScript.quit(0);
}
catch(e) {
if (e.description=="@Arg") WScript.Arguments.ShowUsage(); else say(e);
WScript.quit(-1);
}
function say(oStr) {
if (oStr && oStr.description) {
if (oAlerts.index<2) WScript.echo("Error:"+oStr.description);
} else
if (oAlerts.index<1)
WScript.echo(oStr);
}
function parseArg(asArg, asDefaultValue) {
//1 - Req. arg
//2 - Opt. with def.value
//
var oArg = new Object();
if (!WScript.arguments.named.exists(asArg)) {
if (typeof(asDefaultValue)=="undefined") throw(Error("@Arg"));
oArg.value = asDefaultValue;
} else oArg.value = WScript.arguments.named.item(asArg);
var iCount = parseArg.arguments.length;
if (iCount>2) {
oArg.value = oArg.value.toLowerCase();
for(var i=2; i<iCount; i++)
if (oArg.value == parseArg.arguments[i]) {oArg.index = i-2; return oArg;}
throw(Error("@Arg"));
}
return oArg;
}
function doConnect(aoProvider, aoHost) {
var strTemplate = "winmgmts:{impersonationLevel=impersonate}!\\\\"+
aoHost.value+"\\root\\";
switch(aoProvider.index) {
//Service
case 0: aoProvider.object = GetObject(strTemplate + "CIMV2"); break;
//Registry
case 1: aoProvider.object = GetObject(strTemplate + "default:StdRegProv"); break;
}
return aoProvider.object;
}
function doJob(aoProvider, aoDeviceName, aoMode) {
switch(aoProvider.index) {
//Service
case 0:
for(var eQuery = new Enumerator(aoProvider.object.ExecQuery("Select * from Win32_SystemDriver where Name ='" + aoDeviceName.value + "'")); !eQuery.atEnd(); eQuery.moveNext())
return !eQuery.item().change(undefined,undefined,undefined,undefined,aoMode.value);
break;
//Registry
case 1:
var iHKLM = 0x80000002;
var sKeyPath = "SYSTEM\\CurrentControlSet\\Services\\" + aoDeviceName.value;
return !aoProvider.object.setDWORDValue(iHKLM, sKeyPath, "Start" , aoMode.index);
}
return false;
}
</script>
</job>
</package>
|
|
GFI EndPointSecurity? 18.10.06 11:14
Автор: dvv Статус: Незарегистрированный пользователь
Отредактировано 18.10.06 11:15 Количество правок: 1
|
GFI EndPointSecurity?
Делит девайсы на Floppy, CD/DVD, Storage, Printers, PDA, Network Adatpers, Modems, Imaging Devices и Other Devices.
Агент деплоится со своей консоли.
|
|
отключить контролеры ;-)) 17.10.06 17:56
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
на USB мыши натянуть переходники на ps2
это самый простой метод
где-то встречал софтвароное решение, но как называется прога - не помню :-((
|
| |
Прога называется DeviceLock 17.10.06 19:20
Автор: amirul <Serge> Статус: The Elderman
|
> на USB мыши натянуть переходники на ps2
> это самый простой метод
> где-то встречал софтвароное решение, но как называется
> прога - не помню :-((
http://devicelock.ru/
|
| | |
А вот кстати вопрос 17.10.06 19:33
Автор: whiletrue <Роман> Статус: Elderman
|
Обратный вопрос тут возник:
А нельзя ли чтобы девайс представлялся каким-нибудь авторизированным мышом... принимал бы и отправлял теже команды, что и мышь, а уж дело дров (или сторонней проги) закачивать/скачивать с него инфу, как на диск... тогда бы можно было обмануть любую такую защиту...
Как она определяет авторизировано ли устройство или нет? Девайс какой-то свой ИД передает? Можно ли прошить такой ИД в другой девайс?..
Если можно таки - то произовдство таких беспалевных девайсов - это золотое дно ведь!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
