информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Где водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Некоторые пароли от G Suite хранились... 
 Microsoft выпустила Windows Sandbox 
 Microsoft выпустила исправление... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну в распакованом виде файлы-то будут где-то на клиентской... 26.10.06 10:25  Число просмотров: 2440
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 26.10.06 10:26  Количество правок: 1
<"чистая" ссылка>
> контент криптован.
> В изврате контент перешифровывается на сервере и приходит
> для расшифровке уже на рм. По аналогии с сундуком с двумя
> замками.
>
> Или идет огромный одноразовый криптоблокнот с сервера и
> перехват предыдущих ключей безполезен.
>
> Можно кучу придумать решений с разделенными ключами:-)

Ну в распакованом виде файлы-то будут где-то на клиентской тачке лежать. Выдернем сеть, воткнем наш девайс... Или я че-то не понял? Поясни поподробней, уже интересно...

> или банально перенсти данные на сервер. В терминал!:-))))))
> Дешевле...:-)

Согласен, дешево и сердито! И о флэшках уже беспокоиться не надо...
И опять приходим к тому, что все эти запреты флэшек - нафиг не нужны

> Кстати МАС не так и просто перехватить, мирроринг порта не
> доступен, установка софта на комп запрещена. Подключение
> внешнего устройства бесполезно, ведь ему надо сразу выдать
> МАС, а он не известен.

Ну, когда мы сеть переткнем, приложения будут еще че-то посылать - тут-то мы MAC и узнаем =)
<sysadmin>
Закрыть USB порты 17.10.06 17:46   [HandleX]
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
ДД Коллеги, вот руководство подкинуло комплекс задач по предотвращению кражи информации
все задачи в принипе просто решаемы, кроме той, что бы предотвратить скачивание информации через USB (флэшки и тому подобное)
Если кто сталкивался с хардварным/софтварным решением этой проблемы прошу поделиться =)

из хардварного нашел только вот: http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их у нас можно купить.

Важное замечание: на фирме используются также и USB мыши и клавы (клав честоговоря нету, но вдруг появятся)
И предпочтительно естественно софтварному решению проблемы

Заранее спасибо
самый простой способ... 03.11.06 12:49  
Автор: torch Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
самый простой способ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start значение 4
Всем спасибо, много чего интересного почерпнул 01.11.06 13:45  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Но вот в догонку еще усложним задачу

Прдположим я закрыл все USB каким-либо из предыдущих методов... но!
Очень хотелось бы все-таки это дело не то чо бы контролировать, а присекать =)

Предположим пользователь заранее уведомлен о том что ользоваться флешками, дисками и дискетами запрещено, но есть у него некийц смысл все таки воткнуть флешку... и вот хотелось бы что бы пользователь когда фтыкает флеху или еще что-то подобное, например отправлялось письмо или некоторое сообщение (тотже Windows Messendger) администратору...

Заранее спасибо
З.Ы. предложенные варианты пока не пробовал, нужно еще недельку-две все посмотреть


> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)
>
> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.
>
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы
>
> Заранее спасибо
Уф, какая полемика разразилась, пока в отпуск съездил! 01.11.06 12:59  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.11.06 13:02  Количество правок: 1
<"чистая" ссылка>
Уф, какая полемика разразилась, пока я в отпуск съездил!
Уж как-то раз поднимали здесь аналогичную, достаточно интересную тему защиты инфы от инсайдеров. Не могу удержаться от участия в обсуждении, поскольку вижу, что тема уходит "вглубь". Нельзя только защитив УСБ порты от накопителей "спать спокойно". Если уж защищать, то и файрваре, дисководы, пишущие сидюки. Этого всего очень мало! После принятия этих мер можно опять же потерять бдительность! Можно не усмотреть огромную брешь - интернет (электронную почту и не только ее)!
Ну, допустим прикрыли все! Даже блоки на замОк закрыли и печатью опечатали! А злоумышленник пришел с ноутбуком или наладонником, втыкнул эзернетку в него и все укачал!

> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)

Правильно, нужно искать комплекс мер по предотвращению...

> из хардварного нашел только вот:
> http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел где их
> у нас можно купить.

Лучше сделать так, чтоб даже при открытых УСБ портах никто ничего ценного стырить не смог.

> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы

А принтерные порты не забыли. Есть такие девайсы - накопители с параллельным интерфейсом, ЗИПы, насколько помнится.

> Заранее спасибо

Еще при выходе турникет с сильным магнитным и электростатическим полем, чтоб дискеты размагничивались, а флэшки стирались. Только предупредительную табличку не проходной надо повесить.
Ну и не забыть про фотографирование экрана на камерофон с отправкой по ММС.
И все равно, на лист А4 на принтере с разрешением 600дпи можно 4 мегабайта распечатать с последующим сканированием и переводом в бинарник. Так что злоумышленник дыру найдет. Другим путем надо идти, товарищи!
Прежде всего, напомню, что технические мероприятия без... 01.11.06 15:10  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Прежде всего, напомню, что технические мероприятия без регламентных бесполезны.
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
Прописывается в регламент отвественный(-ые) за носители и только у него есть пишущие устройства.

> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Формируются отдельные рабочие места, неподключенные к корпоративной сети и "шарятся" для сотрудников.

> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!
Умный свитч с МАС фильтром.


> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.


> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
Принт сервера, да и без них не обойтись, при контроле за движением инфы.

> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.

На некоторых режимных объектах есть входной и выходной контроль. Нет необходимости натягивать секретный колпак на всю организацию, а выделить только участки. Но проблема в том, что не многие компании имеют достаточную зрелость для того, что бы проанализировать информационные потоки (а перед этим формализировать бизнес процессы). Не говоря уже о том, что бы оценить существующую систему безопасности и выработать решения по ее усилению.
Но у незрелой компании не могут быть большие запросы по безопасности, она не способна активно генерировать конфенденциальный трафик (нет сертификатов, статусов и тд).
Как правило идут "шпионские страсти", которые приводят к полумерам, больше устрашающие для офисных ламеров. Некторая (а абсолютной не бывает) безопасность таким образом и обеспечивается.


> Другим путем надо идти, товарищи!
каким? эти пути давно прописаны....только надо поискать:-)
Всю внешнюю почту прикрываем, внутреннюю логируем и например... 01.11.06 14:06  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> Уф, какая полемика разразилась, пока я в отпуск съездил!
> Уж как-то раз поднимали здесь аналогичную, достаточно
> интересную тему защиты инфы от инсайдеров. Не могу
> удержаться от участия в обсуждении, поскольку вижу, что
> тема уходит "вглубь". Нельзя только защитив УСБ порты от
> накопителей "спать спокойно". Если уж защищать, то и
> файрваре, дисководы, пишущие сидюки. Этого всего очень
> мало! После принятия этих мер можно опять же потерять
> бдительность! Можно не усмотреть огромную брешь - интернет
> (электронную почту и не только ее)!
Всю внешнюю почту прикрываем, внутреннюю логируем и например на определенные слова тоже можно отлавливать

> Ну, допустим прикрыли все! Даже блоки на замОк закрыли и
> печатью опечатали! А злоумышленник пришел с ноутбуком или
> наладонником, втыкнул эзернетку в него и все укачал!

Ну для этого просто можно запретить доступ анонимным юзверям в сеть (к компу/серверу)
для Вай Фай использовать ауентификацию по маку и шифрование
Но конечно вероятность такого проникновения возможна..
>
> > ДД Коллеги, вот руководство подкинуло комплекс задач
> по
> > предотвращению кражи информации
> > все задачи в принипе просто решаемы, кроме той, что бы
> > предотвратить скачивание информации через USB (флэшки
> и
> > тому подобное)
> > Если кто сталкивался с хардварным/софтварным решением
> этой
> > проблемы прошу поделиться =)
>
> Правильно, нужно искать комплекс мер по предотвращению...
>
> > из хардварного нашел только вот:
> > http://dn.kiev.ua/hi-tech/Lindy_20.html но не нашел
> где их
> > у нас можно купить.
>
> Лучше сделать так, чтоб даже при открытых УСБ портах никто
> ничего ценного стырить не смог.
>
> > Важное замечание: на фирме используются также и USB
> мыши и
> > клавы (клав честоговоря нету, но вдруг появятся)
> > И предпочтительно естественно софтварному решению
> проблемы
>
> А принтерные порты не забыли. Есть такие девайсы -
> накопители с параллельным интерфейсом, ЗИПы, насколько
> помнится.
>
> > Заранее спасибо
>
> Еще при выходе турникет с сильным магнитным и
> электростатическим полем, чтоб дискеты размагничивались, а
> флэшки стирались. Только предупредительную табличку не
> проходной надо повесить.
тоже конечно вариант, только как дискеты для налоговой проносить? :) и руководство например тоже флэшками пользуется )

> Ну и не забыть про фотографирование экрана на камерофон с
> отправкой по ММС.
> И все равно, на лист А4 на принтере с разрешением 600дпи
> можно 4 мегабайта распечатать с последующим сканированием и
> переводом в бинарник. Так что злоумышленник дыру найдет.
> Другим путем надо идти, товарищи!
для принтеров есть PrinterActivity monitor, тоже можно просмотреть кто когда и зачем +)
В прошлом году написал сервис - "отключалку" USB +... 26.10.06 09:35  
Автор: OlegY <Oleg Yurchenko> Статус: Registered
Отредактировано 26.10.06 09:39  Количество правок: 1
<"чистая" ссылка>
В прошлом году написал сервис - "отключалку" USB + ЛОГ-сервер. Для получения доступа к к USB сделал простенький клиент кот. запускается только под админом.
В сервисе использовал довольно "грязный" хак: в цикле постоянно запрещаю старт USB storage driver
(в HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\USBSTOR\Start = 4) и дергаю CM_Request_Device_Eject если нахожу подключенный USB диск.

Как это сделать более красиво не нашел, хотя искал и спрашивал по моему даже здесь в этом форуме.
Может поможет? 25.10.06 14:37  
Автор: mss <Сергей> Статус: Member
<"чистая" ссылка>


http://www.computerra.ru/gid/rtfm/utility/292028/
А не заблокировать ли загрузку конкретного драйвера флешей -... 25.10.06 09:36  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Важное замечание: на фирме используются также и USB мыши и
> клавы (клав честоговоря нету, но вдруг появятся)
> И предпочтительно естественно софтварному решению проблемы

А не заблокировать ли загрузку конкретного драйвера флешей - удалением файла или назначением прав доступа к файлу драйвера? Второе предпочтительнее, чтобы админ, например, мог работать с флешкой, а юзер - нет.
Ветку-то читаем перед тем как ответить? 25.10.06 10:03  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 25.10.06 10:03  Количество правок: 2
<"чистая" ссылка>


http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=138521
Теперь читаем. Как универсальное средство не прокатит,... 03.11.06 12:32  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Теперь читаем. Как универсальное средство не прокатит, очевидно.
Сожалею, что решение как-то "в бок ушло", но имхо, единственное правильное - только давить на персонал -- пробить от шефа подписку о неразглашении, иначе... Дуралеи - в любом случае протупят, а "умники" - в любом - сработают... А жаль. 21.10.06 03:24  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Могу подкинуть собственный скрипт. Ток на 9x работать не... 20.10.06 13:00  
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:06  Количество правок: 2
<"чистая" ссылка>
> ДД Коллеги, вот руководство подкинуло комплекс задач по
> предотвращению кражи информации
> все задачи в принипе просто решаемы, кроме той, что бы
> предотвратить скачивание информации через USB (флэшки и
> тому подобное)
> Если кто сталкивался с хардварным/софтварным решением этой
> проблемы прошу поделиться =)

Если win системы....
Могу подкинуть собственный скрипт. Ток на 9x/ME работать не будет.
Может отключать почтилюбыеустройства (Flash/USB/CD/DVD/Floppy/HDD и т.д. =)
удалённо или готов работать через GP
Внедрён в одной компании. Проблем не было...

ЗЫЖ Да... И ещё... Если юзеры локальные админы и хорошо знают винды - могут обойти...
на чем скрипт? vbs? может тогда прям сюда выложишь? 20.10.06 13:37  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Ещё просьба: отписаться о результатах.... =) 20.10.06 13:58  
Автор: ... Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да... Надеюсь тут за это не убивают: 20.10.06 13:42  
Автор: ... Статус: Незарегистрированный пользователь
Отредактировано 20.10.06 13:53  Количество правок: 2
<"чистая" ссылка>
Да... Надеюсь тут за это не убивают:
Одно условие - плиз не менять без уведомления =)
Вставить в файл devcontrol.wsf
OpenSource.....=)
Ах да - тут log не поддерживается... Если принципиально - допишу...
----------------------------------------------
<package>
<job id="Device Control">

<runtime>
<description>
Device-driver control
Programmed by ... 15.07.2006
Mail to: kirw@mail.ru

...Thanks for Microsoft...
</description>
<named
name = "Host"
helpstring = "Host name ('.' for local host)"
type = "string"
required = "true"
/>
<named
name = "Device"
helpstring = "Device name"
type = "string"
required = "true"
/>
<named
name = "Mode"
helpstring = "Device startup mode [Boot | System | Automatic | Manual | Disabled]"
type = "string"
required = "true"
/>
<named
name = "Provider"
helpstring = "Provider [Service | Registry] [default Service]"
type = "string"
required = "false"
/>
<named
name = "Alerts"
helpstring = "Alerts and warnings [All | Errors | None] [default All]"
type = "string"
required = "false"
/>
<named
name = "Log"
helpstring = "Log to [None | EventLog | FileName] [default None]"
type = "string"
requred = "false"
/>
<example>
Examples:
Disable USB Mass-storage devices on comp-1 with only errors messages:
devcontrol.wsf /Host:comp-1 /Device:USBStor /Mode:Disabled /Alerts:Errors
Disable CD-ROM on local host through registry:
devcontrol.wsf /Host:. /Device:Cdrom /Mode:Disabled /Provider:Registry
</example>
</runtime>

<script language="JScript">
try {
// if (WScript.Arguments.Length<3|WScript.Arguments.Length>4)
// throw("@Arg");

var oHost = parseArg("Host");
var oDeviceName = parseArg("Device");
var oMode = parseArg("Mode", undefined, "boot", "system", "automatic", "manual", "disabled");
var oAlerts = parseArg("Alerts", "all", "all", "errors", "none");
var oProvider = parseArg("Provider", "service", "service", "registry");

if (!doConnect(oProvider, oHost))
throw(Error("connect failed"));
if (!doJob(oProvider, oDeviceName, oMode))
throw(Error("can't change device start mode"));

say("complete");
WScript.quit(0);
}

catch(e) {
if (e.description=="@Arg") WScript.Arguments.ShowUsage(); else say(e);
WScript.quit(-1);
}

function say(oStr) {
if (oStr && oStr.description) {
if (oAlerts.index<2) WScript.echo("Error:"+oStr.description);
} else
if (oAlerts.index<1)
WScript.echo(oStr);
}


function parseArg(asArg, asDefaultValue) {
//1 - Req. arg
//2 - Opt. with def.value
//
var oArg = new Object();
if (!WScript.arguments.named.exists(asArg)) {
if (typeof(asDefaultValue)=="undefined") throw(Error("@Arg"));
oArg.value = asDefaultValue;
} else oArg.value = WScript.arguments.named.item(asArg);

var iCount = parseArg.arguments.length;
if (iCount>2) {
oArg.value = oArg.value.toLowerCase();
for(var i=2; i<iCount; i++)
if (oArg.value == parseArg.arguments[i]) {oArg.index = i-2; return oArg;}
throw(Error("@Arg"));
}
return oArg;
}

function doConnect(aoProvider, aoHost) {
var strTemplate = "winmgmts:{impersonationLevel=impersonate}!\\\\"+
aoHost.value+"\\root\\";
switch(aoProvider.index) {
//Service
case 0: aoProvider.object = GetObject(strTemplate + "CIMV2"); break;
//Registry
case 1: aoProvider.object = GetObject(strTemplate + "default:StdRegProv"); break;
}
return aoProvider.object;
}

function doJob(aoProvider, aoDeviceName, aoMode) {
switch(aoProvider.index) {
//Service
case 0:
for(var eQuery = new Enumerator(aoProvider.object.ExecQuery("Select * from Win32_SystemDriver where Name ='" + aoDeviceName.value + "'")); !eQuery.atEnd(); eQuery.moveNext())
return !eQuery.item().change(undefined,undefined,undefined,undefined,aoMode.value);
break;
//Registry
case 1:
var iHKLM = 0x80000002;
var sKeyPath = "SYSTEM\\CurrentControlSet\\Services\\" + aoDeviceName.value;
return !aoProvider.object.setDWORDValue(iHKLM, sKeyPath, "Start" , aoMode.index);
}
return false;
}

</script>

</job>
</package>
GFI EndPointSecurity? 18.10.06 11:14  
Автор: dvv Статус: Незарегистрированный пользователь
Отредактировано 18.10.06 11:15  Количество правок: 1
<"чистая" ссылка>
GFI EndPointSecurity?

Делит девайсы на Floppy, CD/DVD, Storage, Printers, PDA, Network Adatpers, Modems, Imaging Devices и Other Devices.

Агент деплоится со своей консоли.
отключить контролеры ;-)) 17.10.06 17:56  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
на USB мыши натянуть переходники на ps2
это самый простой метод
где-то встречал софтвароное решение, но как называется прога - не помню :-((
Прога называется DeviceLock 17.10.06 19:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> на USB мыши натянуть переходники на ps2
> это самый простой метод
> где-то встречал софтвароное решение, но как называется
> прога - не помню :-((

http://devicelock.ru/
А вот кстати вопрос 17.10.06 19:33  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Обратный вопрос тут возник:
А нельзя ли чтобы девайс представлялся каким-нибудь авторизированным мышом... принимал бы и отправлял теже команды, что и мышь, а уж дело дров (или сторонней проги) закачивать/скачивать с него инфу, как на диск... тогда бы можно было обмануть любую такую защиту...

Как она определяет авторизировано ли устройство или нет? Девайс какой-то свой ИД передает? Можно ли прошить такой ИД в другой девайс?..

Если можно таки - то произовдство таких беспалевных девайсов - это золотое дно ведь!
1  |  2  |  3 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach