BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2004/07/18.html

Защиты от USB-устройств? Их есть у нас...
dl // 11.07.04 03:24
Похоже, что недавний отчет Gartner о потенциальной опасности расплодившихся USB-дисков, часов с флешкам и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/07/18.html]
был с воодушевлением встречен индустрией (понятное дело, нужно торопиться, пока средства ограничения доступа к подобным носителям не окажутся встроенными в ОС). Довольно синхронно о выходе новых версий программ, направленных на решение описанной проблемы, отрапортовали Pointsec Mobile Technologies и Смарт Лайн Инк.

Правда, каждый из продуктов оперирует с одной из сторон описанной проблемы - Pointsec Media Encryption занимается прозрачным шифрованием данных, записываемых на носители, устраняя опасность утечки при выносе этой информации/краже носителя, в то время как DeviceLock позволяет управлять доступом к любым потенциально опасным устройствам, причем не ограничиваясь подключаемыми к USB.

Источник: vunet.com, CNews.ru    
предложить новость  |  обсудить  |  все отзывы (15) [5936]
назад «  » вперед

последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем... 13.07.04 15:00  
Автор: null666 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем платить, если всё уже есть.

RTFM!

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Это вряд ли 13.07.04 15:59  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Во-первых, у пользователей может стоять не только WinXP, но и Win2K или даже 98SE.
В таком случае, твой метод не годится.

2) А во-вторых, юзер перезагружается под локальным админом, вставляет флешку и наслаждается жизнью.
Если юзерам раздают локальных админов или сажают на 9х, то ни о какой политике безопасности речи не идет 13.07.04 16:36  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Во-первых, у пользователей может стоять не только WinXP,
> но и Win2K или даже 98SE.
> В таком случае, твой метод не годится.
>
> 2) А во-вторых, юзер перезагружается под локальным админом,
> вставляет флешку и наслаждается жизнью.
И выносить оттуда можно все что угодно. Кроме того, метод по идее должен работать на 2к (а 9х давно пора на свалку истории)
Не совсем понял 13.07.04 17:11  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Если ты захочешь, например, в софтверной фирме отобрать у девелоперов/тестеров/team-лидеров/program-менеджеров права локального админа - то я могу только порадоваться твоему оптимизму. С большой вероятностью, это будет твой последний день работы в компании.

2) На Win2K SP4 - в реестре такого ключа нет.
Если есть права админа, то и приведенный совет не работает... 13.07.04 17:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Если ты захочешь, например, в софтверной фирме отобрать
> у девелоперов/тестеров/team-лидеров/program-менеджеров
> права локального админа - то я могу только порадоваться
> твоему оптимизму. С большой вероятностью, это будет твой
> последний день работы в компании.
Если есть права админа, то и приведенный совет не работает. Ничто не помешает вернуть все обратно.
:-)

А девелоперы, тестеры и пр.. в более-менее крупной конторе должны тоже подчиняться политике безопасности. При этом данные никогда не должны переходить из более безопасного хранилища в менее безопасное (вернее для них должен существовать минимальный уровень, а все хранилища должны быть разбиты по уровням). Если правило не выполняются - политики безопасности нет.
Для тестирования и отладки в большинстве случаев хватает виртуальной машины, которая в любом случае не пересечет периметр хост-машины, но там можно иметь любые права.

> 2) На Win2K SP4 - в реестре такого ключа нет.
А его и не будет пока не установишь хоть одно усб масс сторэйдж устройство. Хотя в принципе имя сервиса и могло поменяться, но это сильно вряд ли.
Полностью согласен 13.07.04 18:06  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
> Если есть права админа, то и приведенный совет не работает.
> Ничто не помешает вернуть все обратно.
>
Так я про это и говорю. Вряд ли рекомендация MS кому-то помешает.

> А девелоперы, тестеры и пр.. в более-менее крупной конторе
> должны тоже подчиняться политике безопасности.
>
Ты все говоришь правильно, сложность в том, чтобы эту политику безопасности обеспечить. Все люди разные. И как правило, человек слаб - он не может быть рядом с водой и не напиться.. А когда девелопмент - 200 человек, то как говорится, всех не перестреляешь. И еще есть TechSupport, Writers, ect.
Не, а все просто. У всех отбираются права локального админа и говорится: 13.07.04 18:28  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
"Вам нужна машина с локальным админом? Вот вам VMWare/VirtualPC/Bochs/UserModeLinux, и вперед."
И уже на следующий день 13.07.04 18:39  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты можешь искать другую работу :)

Потому что - никакой CEO/team-leader/program-manager этого не потерпит и пошлет админа на три буквы со всеми его USB-девайсами.
Как раз ни фига 13.07.04 19:01  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
Отредактировано 13.07.04 19:01  Количество правок: 1
<"чистая" ссылка>
Очень многие CEO трясутся над сохранением их интеллектуальной собственности. Если на предприятии есть CIO - это даже не обсуждается, тогда, как правило, есть четко поставленная политика безопасности. Я уже не говорю о том, что как раз CEO вообще до большого фонаря, как будет обеспечена сохранность этой самой интеллектуальной собственности.
Я знаю две (оговорюсь - большие) конторы, в которых подобная идея вполне могла бы прижиться. В одной из них я работал, и в те времена у нас (разработчиков) была постоянная грызня с админами за эти самые несчастные права локального админа. Умолчу, зачем они нам были нужны, замечу только, что мы бы замечательно прожили и без них, гоняя все необходимое по работе под варькой. Высшему руководству на это было почти положить, и наш отдел спасало лишь то, что нам благоволил один из вице-президентов (почему, к делу не относится). Иначе бы админы своего добились и начальство их только похвалило бы.
Давай сделаем как можно проще - 13.07.04 19:32  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты когда будешь работать админом, сразу отбирай у CEO и у всех PM-ов права локального админа под предлогом борьбы за их интеллектуальную собственность. И напиши потом, чем все закончилось.

Просто извини, но твои советы - это разговор ни о чем.
Я могу сразу написать. :0) 14.07.04 12:35  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ты когда будешь работать админом, сразу отбирай у CEO и у
> всех PM-ов права локального админа под предлогом борьбы за
> их интеллектуальную собственность. И напиши потом, чем все
> закончилось.
Я могу сразу написать. :0)
У нас, конечно, не бог весть какая большая контора, но в сети нет прав локального администратора _ни у кого_. Ни у руководства, ни у обычных пользователей.
И ничего, живем. Выгонять с работы пока не собираются. :0)
Не буду, у меня профиль другой :) Но если я паче чаяния... 13.07.04 19:46  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> ты когда будешь работать админом,
Не буду, у меня профиль другой :) Но если я паче чаяния когда-нибудь стану техдиректором, то к попыткам ограничить мои права на рабочей машине буду относиться спокойно. При условии, что это будет не единственная мера безопасности, разумеется.

> Просто извини, но твои советы - это разговор ни о чем.
Ну извини в свою очередь, нет у меня знакомых админов, уволенных за то, что они хотели отобрать права локального админа у высшего руководства. Наверное, вопрос об отборе этих прав не вставал. Мне очень трудно представить, чтобы высшему руководству требовалось портить жизнь собственной компании. А вот от синих воротничков и ниже подобного можно ожидать, потому что их лояльность по отношению к компании заведомо меньше. Бог с ними с CEO, почему хотя бы низшим чинам нельзя ограничить это дело?
Кроме того, если CEO захочет навредить конторе 14.07.04 12:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
Метод кончено хорош (очепятался - только щас заметил :-) ) 13.07.04 15:49  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 13.07.04 17:22  Количество правок: 1
<"чистая" ссылка>
> Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем
> платить, если всё уже есть.
>
> RTFM!
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;823
> 732
Но приводит к ПОЛНОМУ отключению usb mass storage устройств. А описанные решения позволяют управлять доступом к этим устройствам.
Конечно, есть! 12.07.04 21:36  
Автор: ч Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Конечно, есть!
http://www.securewave.com/turcana/securewave/sanctuary_DC.jsp давно и успешно решает обе проблемы
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach