информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Да. В этом ИД заключен код производителя, номер модели,... 19.10.06 15:10  Число просмотров: 3476
Автор: AntonK Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Как она определяет авторизировано ли устройство или нет?
> Девайс какой-то свой ИД передает?

Да. В этом ИД заключен код производителя, номер модели, серийный номер девайса. Знаю это потому, что есть в России серьезные решения по защите от НСД, где можно четко указать - вот эту и эту флешку можно использовать, а все остальное - нельзя. И фиг что рядовой юзер поделает пока не прийдет администратор безопасности и не пропишет новый девайс.

> Можно ли прошить такой ИД в другой девайс?..

Типа воткнул в USB порт, запустил прошивальщик и через несколько секунд радуешься? Я думаю врятли. Вот что-то типа: разобрать корпус, подключиться к чипу котроллера и влить туда новую прошивку - думаю вполне может быть, но, на сколько я понимаю, такие перепрошиваемые микросхемы стоят дороже, чем одноразовые. Смысл такую микросхему ставить на массовую флешку? Или же собирать свою флешку (в принципе под заказ с десяток таких можно сделать).

> Если можно таки - то произовдство таких беспалевных
> девайсов - это золотое дно ведь!

Я бы сказал - никому не нужный геморой, кроме очень узкого круга людей. Плюс остается самая большая проблема - как быть с драйвером? Ведь нужно чтобы на одном компе флешка представлялась мышкой, на другом - принтером, винда под это дело сует сразу свой драйвер... получить возможность непосредственно обратиться к железке минуя ОС не тривиально.
<sysadmin>
Закрыть USB порты 17.10.06 17:46   [HandleX]
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
ДД Коллеги, вот руководство подкинуло комплекс задач по предотвращению кражи информации
все задачи в принипе просто решаемы, кроме той, что бы предотвратить скачивание информации через USB (флэшки и тому подобное)
Если кто сталкивался с хардварным/софтварным решением этой проблемы прошу поделиться =)

из хардварного нашел только вот: http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их у нас можно купить.

Важное замечание: на фирме используются также и USB мыши и клавы (клав честоговоря нету, но вдруг появятся)
И предпочтительно естественно софтварному решению проблемы

Заранее спасибо
самый простой способ... 03.11.06 12:49  
Автор: torch Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
самый простой способ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start значение 4
Всем спасибо, много чего интересного почерпнул 01.11.06 13:45  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Но вот в догонку еще усложним задачу

Прдположим я закрыл все USB каким-либо из предыдущих методов... но!
Очень хотелось бы все-таки это дело не то чо бы контролировать, а присекать =)

Предположим пользователь заранее уведомлен о том что ользоваться флешками, дисками и дискетами запрещено, но есть у него некийц смысл все таки воткнуть флешку... и вот хотелось бы что бы пользователь когда фтыкает флеху или еще что-то подобное, например отправлялось письмо или некоторое сообщение (тотже Windows Messendger) администратору...

Заранее спасибо
З.Ы. предложенные варианты пока не пробовал, нужно еще недельку-две все посмотреть


> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
>
> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.
>
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы
>
> Заранее спасибо
Уф, какая полемика разразилась, пока в отпуск съездил! 01.11.06 12:59  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.11.06 13:02  Количество правок: 1
<"чистая" ссылка>
Уф, какая полемика разразилась, пока я в отпуск съездил!
Уж как-то раз поднимали здесь аналогичную, достаточно интересную тему защиты инфы от инсайдеров. Не могу удержаться от участия в обсуждении, поскольку вижу, что тема уходит "вглубь". Нельзя только защитив УСБ порты от накопителей "спать спокойно". Если уж защищать, то и файрваре, дисководы, пишущие сидюки. Этого всего очень мало! После принятия этих мер можно опять же потерять бдительность! Можно не усмотреть огромную брешь - интернет (электронную почту и не только ее)!
Ну, допустим прикрыли все! Даже блоки на замОк закрыли и печатью опечатали! А злоумышленник пришел с ноутбуком или наладонником, втыкнул эзернетку в него и все укачал!

> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)

Правильно, нужно искать комплекс мер по предотвращению...

> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.

Лучше сделать так, чтоб даже при открытых УСБ портах никто ничего ценного стырить не смог.

> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы

А принтерные порты не забыли. Есть такие девайсы - накопители с параллельным интерфейсом, ЗИПы, насколько помнится.

> Заранее спасибо

Еще при выходе турникет с сильным магнитным и электростатическим полем, чтоб дискеты размагничивались, а флэшки стирались. Только предупредительную табличку не проходной надо повесить.
Ну и не забыть про фотографирование экрана на камерофон с отправкой по ММС.
И все равно, на лист А4 на принтере с разрешением 600дпи можно 4 мегабайта распечатать с последующим сканированием и переводом в бинарник. Так что злоумышленник дыру найдет. Другим путем надо идти, товарищи!
Прежде всего, напомню, что технические мероприятия без... 01.11.06 15:10  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Прежде всего, напомню, что технические мероприятия без регламентных бесполезны.
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
Прописывается в регламент отвественный(-ые) за носители и только у него есть пишущие устройства.

> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Формируются отдельные рабочие места, неподключенные к корпоративной сети и "шарятся" для сотрудников.

> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!
Умный свитч с МАС фильтром.


> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.


> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
Принт сервера, да и без них не обойтись, при контроле за движением инфы.

> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.

На некоторых режимных объектах есть входной и выходной контроль. Нет необходимости натягивать секретный колпак на всю организацию, а выделить только участки. Но проблема в том, что не многие компании имеют достаточную зрелость для того, что бы проанализировать информационные потоки (а перед этим формализировать бизнес процессы). Не говоря уже о том, что бы оценить существующую систему безопасности и выработать решения по ее усилению.
Но у незрелой компании не могут быть большие запросы по безопасности, она не способна активно генерировать конфенденциальный трафик (нет сертификатов, статусов и тд).
Как правило идут "шпионские страсти", которые приводят к полумерам, больше устрашающие для офисных ламеров. Некторая (а абсолютной не бывает) безопасность таким образом и обеспечивается.


> Другим путем надо идти, товарищи!
каким? эти пути давно прописаны....только надо поискать:-)
Всю внешнюю почту прикрываем, внутреннюю логируем и например... 01.11.06 14:06  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> Уф, какая полемика разразилась, пока я в отпуск съездил!
> Уж как-то раз поднимали здесь аналогичную, достаточно
> интересную тему защиты инфы от инсайдеров. Не могу
> удержаться от участия в обсуждении, поскольку вижу, что
> тема уходит "вглубь". Нельзя только защитив УСБ порты от
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Всю внешнюю почту прикрываем, внутреннюю логируем и например на определенные слова тоже можно отлавливать

> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!

Ну для этого просто можно запретить доступ анонимным юзверям в сеть (к компу/серверу)
для Вай Фай использовать ауентификацию по маку и шифрование
Но конечно вероятность такого проникновения возможна..
>
> > ДД Коллеги, вот руководство подкинуло комплекс задач
> по
> > предотвращению кражи информации
> > все задачи в принипе просто решаемы, кроме той, что бы
> > предотвратить скачивание информации через USB (флэшки
> и
> > тому подобное)
> > Если кто сталкивался с хардварным/софтварным решением
> этой
> > проблемы прошу поделиться =)
>
> Правильно, нужно искать комплекс мер по предотвращению...
>
> > из хардварного нашел только вот:
> > http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел
> где их
> > у нас можно купить.
>
> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.
>
> > Важное замечание: на фирме используются также и USB
> мыши и
> > клавы (клав честоговоря нету, но вдруг появятся)
> > И предпочтительно естественно софтварному решению
> проблемы
>
> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
>
> > Заранее спасибо
>
> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.
тоже конечно вариант, только как дискеты для налоговой проносить? :) и руководство например тоже флэшками пользуется )

> Ну и не забыть про фотографирование экрана на камерофон с
> отправкой по ММС.
> И все равно, на лист А4 на принтере с разрешением 600дпи
> можно 4 мегабайта распечатать с последующим сканированием и
> переводом в бинарник. Так что злоумышленник дыру найдет.
> Другим путем надо идти, товарищи!
для принтеров есть PrinterActivity monitor, тоже можно просмотреть кто когда и зачем +)
В прошлом году написал сервис - "отключалку" USB +... 26.10.06 09:35  
Автор: OlegY Статус: Незарегистрированный пользователь
Отредактировано 26.10.06 09:39  Количество правок: 1
<"чистая" ссылка>
В прошлом году написал сервис - "отключалку" USB + ЛОГ-сервер. Для получения доступа к к USB сделал простенький клиент кот. запускается только под админом.
В сервисе использовал довольно "грязный" хак: в цикле постоянно запрещаю старт USB storage driver
(в HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR\Start = 4) и дергаю CM_Request_Device_Eject если нахожу подключенный USB диск.

Как это сделать более красиво не нашел, хотя искал и спрашивал по моему даже здесь в этом форуме.
Может поможет? 25.10.06 14:37  
Автор: mss <Сергей> Статус: Member
<"чистая" ссылка>


http://www.computerra.ru/gid/rtfm/utility/292028/
А не заблокировать ли загрузку конкретного драйвера флешей -... 25.10.06 09:36  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы

А не заблокировать ли загрузку конкретного драйвера флешей - удалением файла или назначением прав доступа к файлу драйвера? Второе предпочтительнее, чтобы админ, например, мог работать с флешкой, а юзер - нет.
Ветку-то читаем перед тем как ответить? 25.10.06 10:03  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 25.10.06 10:03  Количество правок: 2
<"чистая" ссылка>


http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=138521
Теперь читаем. Как универсальное средство не прокатит,... 03.11.06 12:32  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Теперь читаем. Как универсальное средство не прокатит, очевидно.
Сожалею, что решение как-то "в бок ушло", но имхо, единственное правильное - только давить на персонал -- пробить от шефа подписку о неразглашении, иначе... Дуралеи - в любом случае протупят, а "умники" - в любом - сработают... А жаль. 21.10.06 03:24  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Могу подкинуть собственный скрипт. Ток на 9x работать не... 20.10.06 13:00  
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:06  Количество правок: 2
<"чистая" ссылка>
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)

Если win системы....
Могу подкинуть собственный скрипт. Ток на 9x/ME работать не будет.
Может отключать почтилюбыеустройства (Flash/USB/CD/DVD/Floppy/HDD и т.д. =)
удалённо или готов работать через GP
Внедрён в одной компании. Проблем не было...

ЗЫЖ Да... И ещё... Если юзеры локальные админы и хорошо знают винды - могут обойти...
на чем скрипт? vbs? может тогда прям сюда выложишь? 20.10.06 13:37  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Ещё просьба: отписаться о результатах.... =) 20.10.06 13:58  
Автор: ... Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да... Надеюсь тут за это не убивают: 20.10.06 13:42  
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:53  Количество правок: 2
<"чистая" ссылка>
Да... Надеюсь тут за это не убивают:
Одно условие - плиз не менять без уведомления =)
Вставить в файл devcontrol.wsf
OpenSource.....=)
Ах да - тут log не поддерживается... Если принципиально - допишу...
----------------------------------------------
<package>
<job id="Device Control">

<runtime>
<description>
Device-driver control
Programmed by ... 15.07.2006
Mail to: kirw@mail.ru

...Thanks for Microsoft...
</description>
<named
name = "Host"
helpstring = "Host name ('.' for local host)"
type = "string"
required = "true"
/>
<named
name = "Device"
helpstring = "Device name"
type = "string"
required = "true"
/>
<named
name = "Mode"
helpstring = "Device startup mode [Boot | System | Automatic | Manual | Disabled]"
type = "string"
required = "true"
/>
<named
name = "Provider"
helpstring = "Provider [Service | Registry] [default Service]"
type = "string"
required = "false"
/>
<named
name = "Alerts"
helpstring = "Alerts and warnings [All | Errors | None] [default All]"
type = "string"
required = "false"
/>
<named
name = "Log"
helpstring = "Log to [None | EventLog | FileName] [default None]"
type = "string"
requred = "false"
/>
<example>
Examples:
Disable USB Mass-storage devices on comp-1 with only errors messages:
devcontrol.wsf /Host:comp-1 /Device:USBStor /Mode:Disabled /Alerts:Errors
Disable CD-ROM on local host through registry:
devcontrol.wsf /Host:. /Device:Cdrom /Mode:Disabled /Provider:Registry
</example>
</runtime>

<script language="JScript">
try {
// if (WScript.Arguments.Length<3|WScript.Arguments.Length>4)
// throw("@Arg");

var oHost = parseArg("Host");
var oDeviceName = parseArg("Device");
var oMode = parseArg("Mode", undefined, "boot", "system", "automatic", "manual", "disabled");
var oAlerts = parseArg("Alerts", "all", "all", "errors", "none");
var oProvider = parseArg("Provider", "service", "service", "registry");

if (!doConnect(oProvider, oHost))
throw(Error("connect failed"));
if (!doJob(oProvider, oDeviceName, oMode))
throw(Error("can't change device start mode"));

say("complete");
WScript.quit(0);
}

catch(e) {
if (e.description=="@Arg") WScript.Arguments.ShowUsage(); else say(e);
WScript.quit(-1);
}

function say(oStr) {
if (oStr && oStr.description) {
if (oAlerts.index<2) WScript.echo("Error:"+oStr.description);
} else
if (oAlerts.index<1)
WScript.echo(oStr);
}


function parseArg(asArg, asDefaultValue) {
//1 - Req. arg
//2 - Opt. with def.value
//
var oArg = new Object();
if (!WScript.arguments.named.exists(asArg)) {
if (typeof(asDefaultValue)=="undefined") throw(Error("@Arg"));
oArg.value = asDefaultValue;
} else oArg.value = WScript.arguments.named.item(asArg);

var iCount = parseArg.arguments.length;
if (iCount>2) {
oArg.value = oArg.value.toLowerCase();
for(var i=2; i<iCount; i++)
if (oArg.value == parseArg.arguments[i]) {oArg.index = i-2; return oArg;}
throw(Error("@Arg"));
}
return oArg;
}

function doConnect(aoProvider, aoHost) {
var strTemplate = "winmgmts:{impersonationLevel=impersonate}!\\\\"+
aoHost.value+"\\root\\";
switch(aoProvider.index) {
//Service
case 0: aoProvider.object = GetObject(strTemplate + "CIMV2"); break;
//Registry
case 1: aoProvider.object = GetObject(strTemplate + "default:StdRegProv"); break;
}
return aoProvider.object;
}

function doJob(aoProvider, aoDeviceName, aoMode) {
switch(aoProvider.index) {
//Service
case 0:
for(var eQuery = new Enumerator(aoProvider.object.ExecQuery("Select * from Win32_SystemDriver where Name ='" + aoDeviceName.value + "'")); !eQuery.atEnd(); eQuery.moveNext())
return !eQuery.item().change(undefined,undefined,undefined,undefined,aoMode.value);
break;
//Registry
case 1:
var iHKLM = 0x80000002;
var sKeyPath = "SYSTEM\\CurrentControlSet\\Services\\" + aoDeviceName.value;
return !aoProvider.object.setDWORDValue(iHKLM, sKeyPath, "Start" , aoMode.index);
}
return false;
}

</script>

</job>
</package>
GFI EndPointSecurity? 18.10.06 11:14  
Автор: dvv Статус: Незарегистрированный пользователь
Отредактировано 18.10.06 11:15  Количество правок: 1
<"чистая" ссылка>
GFI EndPointSecurity?

Делит девайсы на Floppy, CD/DVD, Storage, Printers, PDA, Network Adatpers, Modems, Imaging Devices и Other Devices.

Агент деплоится со своей консоли.
отключить контролеры ;-)) 17.10.06 17:56  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
на USB мыши натянуть переходники на ps2
это самый простой метод
где-то встречал софтвароное решение, но как называется прога - не помню :-((
Прога называется DeviceLock 17.10.06 19:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> на USB мыши натянуть переходники на ps2
> это самый простой метод
> где-то встречал софтвароное решение, но как называется
> прога - не помню :-((

http://devicelock.ru/
А вот кстати вопрос 17.10.06 19:33  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Обратный вопрос тут возник:
А нельзя ли чтобы девайс представлялся каким-нибудь авторизированным мышом... принимал бы и отправлял теже команды, что и мышь, а уж дело дров (или сторонней проги) закачивать/скачивать с него инфу, как на диск... тогда бы можно было обмануть любую такую защиту...

Как она определяет авторизировано ли устройство или нет? Девайс какой-то свой ИД передает? Можно ли прошить такой ИД в другой девайс?..

Если можно таки - то произовдство таких беспалевных девайсов - это золотое дно ведь!
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach