По левым девайсам. Умные свитчи позволяют прописывать фильтры на порт по МАС. Хотя это все равно не защитит на 100%.25.10.06 18:06 Число просмотров: 3529 Автор: Garick <Yuriy> Статус: Elderman
Обладая ключевой информацией по доступу к ресурсу, всегда возможен физический коннект к ресурсу.
Иногда для этого необходимо провести достаточно затратные мероприятия.
Проработанный регламент доступа необходим. Безопасность, это не только софт и хард проблемы, это также организационная часть, тот же аудит, например.
Усиилить защиту возможно применением внутреннего железного ключа, доступному только при физическом доступе внутрь системника. Аналогично ключ, хранимый в месте, доступный только пользователям, имеющим соотв права, админу безопасности, например.
На рынке есть решения позволяющие отделить безопасность от админа системы (и домена).
ДД Коллеги, вот руководство подкинуло комплекс задач по предотвращению кражи информации
все задачи в принипе просто решаемы, кроме той, что бы предотвратить скачивание информации через USB (флэшки и тому подобное)
Если кто сталкивался с хардварным/софтварным решением этой проблемы прошу поделиться =)
Важное замечание: на фирме используются также и USB мыши и клавы (клав честоговоря нету, но вдруг появятся)
И предпочтительно естественно софтварному решению проблемы
Заранее спасибо
самый простой способ...03.11.06 12:49 Автор: torch Статус: Незарегистрированный пользователь
> ДД Коллеги, вот руководство подкинуло комплекс задач по > предотвращению кражи информации > все задачи в принипе просто решаемы, кроме той, что бы > предотвратить скачивание информации через USB (флэшки и > тому подобное) > Если кто сталкивался с хардварным/софтварным решением этой > проблемы прошу поделиться =) самый простой способ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start значение 4
Всем спасибо, много чего интересного почерпнул01.11.06 13:45 Автор: DamNet <Denis Amelin> Статус: Elderman
Прдположим я закрыл все USB каким-либо из предыдущих методов... но!
Очень хотелось бы все-таки это дело не то чо бы контролировать, а присекать =)
Предположим пользователь заранее уведомлен о том что ользоваться флешками, дисками и дискетами запрещено, но есть у него некийц смысл все таки воткнуть флешку... и вот хотелось бы что бы пользователь когда фтыкает флеху или еще что-то подобное, например отправлялось письмо или некоторое сообщение (тотже Windows Messendger) администратору...
Заранее спасибо
З.Ы. предложенные варианты пока не пробовал, нужно еще недельку-две все посмотреть
> ДД Коллеги, вот руководство подкинуло комплекс задач по > предотвращению кражи информации > все задачи в принипе просто решаемы, кроме той, что бы > предотвратить скачивание информации через USB (флэшки и > тому подобное) > Если кто сталкивался с хардварным/софтварным решением этой > проблемы прошу поделиться =) > > из хардварного нашел только вот: > http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их > у нас можно купить. > > Важное замечание: на фирме используются также и USB мыши и > клавы (клав честоговоря нету, но вдруг появятся) > И предпочтительно естественно софтварному решению проблемы > > Заранее спасибо
Уф, какая полемика разразилась, пока в отпуск съездил!01.11.06 12:59 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 01.11.06 13:02 Количество правок: 1
Уф, какая полемика разразилась, пока я в отпуск съездил!
Уж как-то раз поднимали здесь аналогичную, достаточно интересную тему защиты инфы от инсайдеров. Не могу удержаться от участия в обсуждении, поскольку вижу, что тема уходит "вглубь". Нельзя только защитив УСБ порты от накопителей "спать спокойно". Если уж защищать, то и файрваре, дисководы, пишущие сидюки. Этого всего очень мало! После принятия этих мер можно опять же потерять бдительность! Можно не усмотреть огромную брешь - интернет (электронную почту и не только ее)!
Ну, допустим прикрыли все! Даже блоки на замОк закрыли и печатью опечатали! А злоумышленник пришел с ноутбуком или наладонником, втыкнул эзернетку в него и все укачал!
> ДД Коллеги, вот руководство подкинуло комплекс задач по > предотвращению кражи информации > все задачи в принипе просто решаемы, кроме той, что бы > предотвратить скачивание информации через USB (флэшки и > тому подобное) > Если кто сталкивался с хардварным/софтварным решением этой > проблемы прошу поделиться =)
Правильно, нужно искать комплекс мер по предотвращению...
Лучше сделать так, чтоб даже при открытых УСБ портах никто ничего ценного стырить не смог.
> Важное замечание: на фирме используются также и USB мыши и > клавы (клав честоговоря нету, но вдруг появятся) > И предпочтительно естественно софтварному решению проблемы
А принтерные порты не забыли. Есть такие девайсы - накопители с параллельным интерфейсом, ЗИПы, насколько помнится.
> Заранее спасибо
Еще при выходе турникет с сильным магнитным и электростатическим полем, чтоб дискеты размагничивались, а флэшки стирались. Только предупредительную табличку не проходной надо повесить.
Ну и не забыть про фотографирование экрана на камерофон с отправкой по ММС.
И все равно, на лист А4 на принтере с разрешением 600дпи можно 4 мегабайта распечатать с последующим сканированием и переводом в бинарник. Так что злоумышленник дыру найдет. Другим путем надо идти, товарищи!
Прежде всего, напомню, что технические мероприятия без...01.11.06 15:10 Автор: Garick <Yuriy> Статус: Elderman
Прежде всего, напомню, что технические мероприятия без регламентных бесполезны.
> накопителей "спать спокойно". Если уж защищать, то и > файрваре, дисководы, пишущие сидюки. Этого всего очень Прописывается в регламент отвественный(-ые) за носители и только у него есть пишущие устройства.
> мало! После принятия этих мер можно опять же потерять > бдительность! Можно не усмотреть огромную брешь - интернет > (электронную почту и не только ее)! Формируются отдельные рабочие места, неподключенные к корпоративной сети и "шарятся" для сотрудников.
> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и > печатью опечатали! А злоумышленник пришел с ноутбуком или > наладонником, втыкнул эзернетку в него и все укачал! Умный свитч с МАС фильтром.
> Лучше сделать так, чтоб даже при открытых УСБ портах никто > ничего ценного стырить не смог.
> А принтерные порты не забыли. Есть такие девайсы - > накопители с параллельным интерфейсом, ЗИПы, насколько > помнится. Принт сервера, да и без них не обойтись, при контроле за движением инфы.
> Еще при выходе турникет с сильным магнитным и > электростатическим полем, чтоб дискеты размагничивались, а > флэшки стирались. Только предупредительную табличку не > проходной надо повесить.
На некоторых режимных объектах есть входной и выходной контроль. Нет необходимости натягивать секретный колпак на всю организацию, а выделить только участки. Но проблема в том, что не многие компании имеют достаточную зрелость для того, что бы проанализировать информационные потоки (а перед этим формализировать бизнес процессы). Не говоря уже о том, что бы оценить существующую систему безопасности и выработать решения по ее усилению.
Но у незрелой компании не могут быть большие запросы по безопасности, она не способна активно генерировать конфенденциальный трафик (нет сертификатов, статусов и тд).
Как правило идут "шпионские страсти", которые приводят к полумерам, больше устрашающие для офисных ламеров. Некторая (а абсолютной не бывает) безопасность таким образом и обеспечивается.
> Другим путем надо идти, товарищи! каким? эти пути давно прописаны....только надо поискать:-)
Всю внешнюю почту прикрываем, внутреннюю логируем и например...01.11.06 14:06 Автор: DamNet <Denis Amelin> Статус: Elderman
> Уф, какая полемика разразилась, пока я в отпуск съездил! > Уж как-то раз поднимали здесь аналогичную, достаточно > интересную тему защиты инфы от инсайдеров. Не могу > удержаться от участия в обсуждении, поскольку вижу, что > тема уходит "вглубь". Нельзя только защитив УСБ порты от > накопителей "спать спокойно". Если уж защищать, то и > файрваре, дисководы, пишущие сидюки. Этого всего очень > мало! После принятия этих мер можно опять же потерять > бдительность! Можно не усмотреть огромную брешь - интернет > (электронную почту и не только ее)! Всю внешнюю почту прикрываем, внутреннюю логируем и например на определенные слова тоже можно отлавливать
> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и > печатью опечатали! А злоумышленник пришел с ноутбуком или > наладонником, втыкнул эзернетку в него и все укачал!
Ну для этого просто можно запретить доступ анонимным юзверям в сеть (к компу/серверу)
для Вай Фай использовать ауентификацию по маку и шифрование
Но конечно вероятность такого проникновения возможна..
> > > ДД Коллеги, вот руководство подкинуло комплекс задач > по > > предотвращению кражи информации > > все задачи в принипе просто решаемы, кроме той, что бы > > предотвратить скачивание информации через USB (флэшки > и > > тому подобное) > > Если кто сталкивался с хардварным/софтварным решением > этой > > проблемы прошу поделиться =) > > Правильно, нужно искать комплекс мер по предотвращению... > > > из хардварного нашел только вот: > > http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел > где их > > у нас можно купить. > > Лучше сделать так, чтоб даже при открытых УСБ портах никто > ничего ценного стырить не смог. > > > Важное замечание: на фирме используются также и USB > мыши и > > клавы (клав честоговоря нету, но вдруг появятся) > > И предпочтительно естественно софтварному решению > проблемы > > А принтерные порты не забыли. Есть такие девайсы - > накопители с параллельным интерфейсом, ЗИПы, насколько > помнится. > > > Заранее спасибо > > Еще при выходе турникет с сильным магнитным и > электростатическим полем, чтоб дискеты размагничивались, а > флэшки стирались. Только предупредительную табличку не > проходной надо повесить. тоже конечно вариант, только как дискеты для налоговой проносить? :) и руководство например тоже флэшками пользуется )
> Ну и не забыть про фотографирование экрана на камерофон с > отправкой по ММС. > И все равно, на лист А4 на принтере с разрешением 600дпи > можно 4 мегабайта распечатать с последующим сканированием и > переводом в бинарник. Так что злоумышленник дыру найдет. > Другим путем надо идти, товарищи! для принтеров есть PrinterActivity monitor, тоже можно просмотреть кто когда и зачем +)
В прошлом году написал сервис - "отключалку" USB +...26.10.06 09:35 Автор: OlegY Статус: Незарегистрированный пользователь Отредактировано 26.10.06 09:39 Количество правок: 1
В прошлом году написал сервис - "отключалку" USB + ЛОГ-сервер. Для получения доступа к к USB сделал простенький клиент кот. запускается только под админом.
В сервисе использовал довольно "грязный" хак: в цикле постоянно запрещаю старт USB storage driver
(в HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR\Start = 4) и дергаю CM_Request_Device_Eject если нахожу подключенный USB диск.
Как это сделать более красиво не нашел, хотя искал и спрашивал по моему даже здесь в этом форуме.
Может поможет?25.10.06 14:37 Автор: mss <Сергей> Статус: Member
> Важное замечание: на фирме используются также и USB мыши и > клавы (клав честоговоря нету, но вдруг появятся) > И предпочтительно естественно софтварному решению проблемы
А не заблокировать ли загрузку конкретного драйвера флешей - удалением файла или назначением прав доступа к файлу драйвера? Второе предпочтительнее, чтобы админ, например, мог работать с флешкой, а юзер - нет.
Ветку-то читаем перед тем как ответить?25.10.06 10:03 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 25.10.06 10:03 Количество правок: 2
Теперь читаем. Как универсальное средство не прокатит, очевидно.
Сожалею, что решение как-то "в бок ушло", но имхо, единственное правильное - только давить на персонал -- пробить от шефа подписку о неразглашении, иначе... Дуралеи - в любом случае протупят, а "умники" - в любом - сработают... А жаль.21.10.06 03:24 Автор: kstati <Евгений Борисов> Статус: Elderman
Могу подкинуть собственный скрипт. Ток на 9x работать не...20.10.06 13:00 Автор: ... Статус: Незарегистрированный пользователь Отредактировано 20.10.06 13:06 Количество правок: 2
> ДД Коллеги, вот руководство подкинуло комплекс задач по > предотвращению кражи информации > все задачи в принипе просто решаемы, кроме той, что бы > предотвратить скачивание информации через USB (флэшки и > тому подобное) > Если кто сталкивался с хардварным/софтварным решением этой > проблемы прошу поделиться =)
Если win системы....
Могу подкинуть собственный скрипт. Ток на 9x/ME работать не будет.
Может отключать почтилюбыеустройства (Flash/USB/CD/DVD/Floppy/HDD и т.д. =)
удалённо или готов работать через GP
Внедрён в одной компании. Проблем не было...
ЗЫЖ Да... И ещё... Если юзеры локальные админы и хорошо знают винды - могут обойти...
на чем скрипт? vbs? может тогда прям сюда выложишь?20.10.06 13:37 Автор: DamNet <Denis Amelin> Статус: Elderman
Да... Надеюсь тут за это не убивают:20.10.06 13:42 Автор: ... Статус: Незарегистрированный пользователь Отредактировано 20.10.06 13:53 Количество правок: 2
Да... Надеюсь тут за это не убивают:
Одно условие - плиз не менять без уведомления =)
Вставить в файл devcontrol.wsf
OpenSource.....=)
Ах да - тут log не поддерживается... Если принципиально - допишу...
----------------------------------------------
<package>
<job id="Device Control">
<runtime>
<description>
Device-driver control
Programmed by ... 15.07.2006
Mail to: kirw@mail.ru
...Thanks for Microsoft...
</description>
<named
name = "Host"
helpstring = "Host name ('.' for local host)"
type = "string"
required = "true"
/>
<named
name = "Device"
helpstring = "Device name"
type = "string"
required = "true"
/>
<named
name = "Mode"
helpstring = "Device startup mode [Boot | System | Automatic | Manual | Disabled]"
type = "string"
required = "true"
/>
<named
name = "Provider"
helpstring = "Provider [Service | Registry] [default Service]"
type = "string"
required = "false"
/>
<named
name = "Alerts"
helpstring = "Alerts and warnings [All | Errors | None] [default All]"
type = "string"
required = "false"
/>
<named
name = "Log"
helpstring = "Log to [None | EventLog | FileName] [default None]"
type = "string"
requred = "false"
/>
<example>
Examples:
Disable USB Mass-storage devices on comp-1 with only errors messages:
devcontrol.wsf /Host:comp-1 /Device:USBStor /Mode:Disabled /Alerts:Errors
Disable CD-ROM on local host through registry:
devcontrol.wsf /Host:. /Device:Cdrom /Mode:Disabled /Provider:Registry
</example>
</runtime>
<script language="JScript">
try {
// if (WScript.Arguments.Length<3|WScript.Arguments.Length>4)
// throw("@Arg");
var oHost = parseArg("Host");
var oDeviceName = parseArg("Device");
var oMode = parseArg("Mode", undefined, "boot", "system", "automatic", "manual", "disabled");
var oAlerts = parseArg("Alerts", "all", "all", "errors", "none");
var oProvider = parseArg("Provider", "service", "service", "registry");
if (!doConnect(oProvider, oHost))
throw(Error("connect failed"));
if (!doJob(oProvider, oDeviceName, oMode))
throw(Error("can't change device start mode"));
say("complete");
WScript.quit(0);
}
catch(e) {
if (e.description=="@Arg") WScript.Arguments.ShowUsage(); else say(e);
WScript.quit(-1);
}
function say(oStr) {
if (oStr && oStr.description) {
if (oAlerts.index<2) WScript.echo("Error:"+oStr.description);
} else
if (oAlerts.index<1)
WScript.echo(oStr);
}
function parseArg(asArg, asDefaultValue) {
//1 - Req. arg
//2 - Opt. with def.value
//
var oArg = new Object();
if (!WScript.arguments.named.exists(asArg)) {
if (typeof(asDefaultValue)=="undefined") throw(Error("@Arg"));
oArg.value = asDefaultValue;
} else oArg.value = WScript.arguments.named.item(asArg);
var iCount = parseArg.arguments.length;
if (iCount>2) {
oArg.value = oArg.value.toLowerCase();
for(var i=2; i<iCount; i++)
if (oArg.value == parseArg.arguments[i]) {oArg.index = i-2; return oArg;}
throw(Error("@Arg"));
}
return oArg;
}
function doConnect(aoProvider, aoHost) {
var strTemplate = "winmgmts:{impersonationLevel=impersonate}!\\\\"+
aoHost.value+"\\root\\";
switch(aoProvider.index) {
//Service
case 0: aoProvider.object = GetObject(strTemplate + "CIMV2"); break;
//Registry
case 1: aoProvider.object = GetObject(strTemplate + "default:StdRegProv"); break;
}
return aoProvider.object;
}
function doJob(aoProvider, aoDeviceName, aoMode) {
switch(aoProvider.index) {
//Service
case 0:
for(var eQuery = new Enumerator(aoProvider.object.ExecQuery("Select * from Win32_SystemDriver where Name ='" + aoDeviceName.value + "'")); !eQuery.atEnd(); eQuery.moveNext())
return !eQuery.item().change(undefined,undefined,undefined,undefined,aoMode.value);
break;
//Registry
case 1:
var iHKLM = 0x80000002;
var sKeyPath = "SYSTEM\\CurrentControlSet\\Services\\" + aoDeviceName.value;
return !aoProvider.object.setDWORDValue(iHKLM, sKeyPath, "Start" , aoMode.index);
}
return false;
}
Обратный вопрос тут возник:
А нельзя ли чтобы девайс представлялся каким-нибудь авторизированным мышом... принимал бы и отправлял теже команды, что и мышь, а уж дело дров (или сторонней проги) закачивать/скачивать с него инфу, как на диск... тогда бы можно было обмануть любую такую защиту...
Как она определяет авторизировано ли устройство или нет? Девайс какой-то свой ИД передает? Можно ли прошить такой ИД в другой девайс?..
Если можно таки - то произовдство таких беспалевных девайсов - это золотое дно ведь!