Защиты от USB-устройств? Их есть у нас... dl // 11.07.04 03:24
Похоже, что недавний отчет Gartner о потенциальной опасности расплодившихся USB-дисков, часов с флешкам и т.п. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/07/18.html] был с воодушевлением встречен индустрией (понятное дело, нужно торопиться, пока средства ограничения доступа к подобным носителям не окажутся встроенными в ОС). Довольно синхронно о выходе новых версий программ, направленных на решение описанной проблемы, отрапортовали Pointsec Mobile Technologies и Смарт Лайн Инк.
Правда, каждый из продуктов оперирует с одной из сторон описанной проблемы - Pointsec Media Encryption занимается прозрачным шифрованием данных, записываемых на носители, устраняя опасность утечки при выносе этой информации/краже носителя, в то время как DeviceLock позволяет управлять доступом к любым потенциально опасным устройствам, причем не ограничиваясь подключаемыми к USB.
1) Во-первых, у пользователей может стоять не только WinXP, но и Win2K или даже 98SE.
В таком случае, твой метод не годится.
2) А во-вторых, юзер перезагружается под локальным админом, вставляет флешку и наслаждается жизнью.
Если юзерам раздают локальных админов или сажают на 9х, то ни о какой политике безопасности речи не идет13.07.04 16:36 Автор: amirul <Serge> Статус: The Elderman
> 1) Во-первых, у пользователей может стоять не только WinXP, > но и Win2K или даже 98SE. > В таком случае, твой метод не годится. > > 2) А во-вторых, юзер перезагружается под локальным админом, > вставляет флешку и наслаждается жизнью. И выносить оттуда можно все что угодно. Кроме того, метод по идее должен работать на 2к (а 9х давно пора на свалку истории)
Не совсем понял13.07.04 17:11 Автор: Neznaika <Alex> Статус: Member
1) Если ты захочешь, например, в софтверной фирме отобрать у девелоперов/тестеров/team-лидеров/program-менеджеров права локального админа - то я могу только порадоваться твоему оптимизму. С большой вероятностью, это будет твой последний день работы в компании.
2) На Win2K SP4 - в реестре такого ключа нет.
Если есть права админа, то и приведенный совет не работает...13.07.04 17:20 Автор: amirul <Serge> Статус: The Elderman
> 1) Если ты захочешь, например, в софтверной фирме отобрать > у девелоперов/тестеров/team-лидеров/program-менеджеров > права локального админа - то я могу только порадоваться > твоему оптимизму. С большой вероятностью, это будет твой > последний день работы в компании. Если есть права админа, то и приведенный совет не работает. Ничто не помешает вернуть все обратно.
:-)
А девелоперы, тестеры и пр.. в более-менее крупной конторе должны тоже подчиняться политике безопасности. При этом данные никогда не должны переходить из более безопасного хранилища в менее безопасное (вернее для них должен существовать минимальный уровень, а все хранилища должны быть разбиты по уровням). Если правило не выполняются - политики безопасности нет.
Для тестирования и отладки в большинстве случаев хватает виртуальной машины, которая в любом случае не пересечет периметр хост-машины, но там можно иметь любые права.
> 2) На Win2K SP4 - в реестре такого ключа нет. А его и не будет пока не установишь хоть одно усб масс сторэйдж устройство. Хотя в принципе имя сервиса и могло поменяться, но это сильно вряд ли.
Полностью согласен13.07.04 18:06 Автор: Neznaika <Alex> Статус: Member
> Если есть права админа, то и приведенный совет не работает. > Ничто не помешает вернуть все обратно. > Так я про это и говорю. Вряд ли рекомендация MS кому-то помешает.
> А девелоперы, тестеры и пр.. в более-менее крупной конторе > должны тоже подчиняться политике безопасности. >
Ты все говоришь правильно, сложность в том, чтобы эту политику безопасности обеспечить. Все люди разные. И как правило, человек слаб - он не может быть рядом с водой и не напиться.. А когда девелопмент - 200 человек, то как говорится, всех не перестреляешь. И еще есть TechSupport, Writers, ect.
Не, а все просто. У всех отбираются права локального админа и говорится:13.07.04 18:28 Автор: Ktirf <Æ Rusakov> Статус: Elderman
Очень многие CEO трясутся над сохранением их интеллектуальной собственности. Если на предприятии есть CIO - это даже не обсуждается, тогда, как правило, есть четко поставленная политика безопасности. Я уже не говорю о том, что как раз CEO вообще до большого фонаря, как будет обеспечена сохранность этой самой интеллектуальной собственности.
Я знаю две (оговорюсь - большие) конторы, в которых подобная идея вполне могла бы прижиться. В одной из них я работал, и в те времена у нас (разработчиков) была постоянная грызня с админами за эти самые несчастные права локального админа. Умолчу, зачем они нам были нужны, замечу только, что мы бы замечательно прожили и без них, гоняя все необходимое по работе под варькой. Высшему руководству на это было почти положить, и наш отдел спасало лишь то, что нам благоволил один из вице-президентов (почему, к делу не относится). Иначе бы админы своего добились и начальство их только похвалило бы.
Давай сделаем как можно проще -13.07.04 19:32 Автор: Neznaika <Alex> Статус: Member
ты когда будешь работать админом, сразу отбирай у CEO и у всех PM-ов права локального админа под предлогом борьбы за их интеллектуальную собственность. И напиши потом, чем все закончилось.
Просто извини, но твои советы - это разговор ни о чем.
Я могу сразу написать. :0)
14.07.04 12:35 Автор: Vened Статус: Незарегистрированный пользователь
> ты когда будешь работать админом, сразу отбирай у CEO и у > всех PM-ов права локального админа под предлогом борьбы за > их интеллектуальную собственность. И напиши потом, чем все > закончилось. Я могу сразу написать. :0)
У нас, конечно, не бог весть какая большая контора, но в сети нет прав локального администратора _ни у кого_. Ни у руководства, ни у обычных пользователей.
И ничего, живем. Выгонять с работы пока не собираются. :0)
Не буду, у меня профиль другой :) Но если я паче чаяния...13.07.04 19:46 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> ты когда будешь работать админом, Не буду, у меня профиль другой :) Но если я паче чаяния когда-нибудь стану техдиректором, то к попыткам ограничить мои права на рабочей машине буду относиться спокойно. При условии, что это будет не единственная мера безопасности, разумеется.
> Просто извини, но твои советы - это разговор ни о чем. Ну извини в свою очередь, нет у меня знакомых админов, уволенных за то, что они хотели отобрать права локального админа у высшего руководства. Наверное, вопрос об отборе этих прав не вставал. Мне очень трудно представить, чтобы высшему руководству требовалось портить жизнь собственной компании. А вот от синих воротничков и ниже подобного можно ожидать, потому что их лояльность по отношению к компании заведомо меньше. Бог с ними с CEO, почему хотя бы низшим чинам нельзя ограничить это дело?
Кроме того, если CEO захочет навредить конторе14.07.04 12:58 Автор: amirul <Serge> Статус: The Elderman
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
Метод кончено хорош (очепятался - только щас заметил :-) )13.07.04 15:49 Автор: amirul <Serge> Статус: The Elderman Отредактировано 13.07.04 17:22 Количество правок: 1
> Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем > платить, если всё уже есть. > > RTFM! > > http://support.microsoft.com/default.aspx?scid=kb;en-us;823 > 732 Но приводит к ПОЛНОМУ отключению usb mass storage устройств. А описанные решения позволяют управлять доступом к этим устройствам.
подробно о проекте
Анализ криптографических сетевых...
