USB poorten lijmen niet meer nodig door Vista USB blocking
Auomatiseringsafdelingen die lijm in de USB poorten van hun gebruikers gieten hoeven dit niet meer te doen als ze Windows Vista installeren. USB apparaten worden al geruime tijd gezien als een gevaar voor informatie en bedrijfsnetwerken. Niet alleen kunnen werknemers zonder al teveel moeite vertrouwelijke informatie mee naar huis nemen, ook het infecteren van het bedrijfsnetwerk is een reëel probleem.
Microsoft heeft daarom een optie in Windows Vista aangebracht die voorkomt dat er informatie van of naar USB apparaten wordt gekopieerd. Daarnaast is het mogelijk om zelf een bericht weer te geven die aan de gebruiker uitlegt waarom zijn of haar apparaat niet geinstalleerd wordt, zoda ze de helpdesk niet hoeven te bellen. USB blocking is als group policy in te stellen, iets wat Microsoft in dit artikel uitlegt.
Reacties (24)
05-10-2006, 12:45 door
DWizzy
er uit peuteren maar weer! ^^
05-10-2006, 12:47 door
Skizmo
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
05-10-2006, 12:47 door
Walter
Door DWizzy
er uit peuteren maar weer! ^^
Een beetje lijm kun je aansteken en verbranden :), maar daner uit peuteren maar weer! ^^
heb je ook de Vista USB beveiliging niet meer nodig.
05-10-2006, 12:53 door
Jeroen-S
Door Skizmo
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Door Jeroen-S
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Door Skizmo
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Het voordeel van de Vista oplossing (policy) is dat
beheerders nog wel gebruik kunnen maken van USB zonder
allerlei toeren uit te halen.
Niet lang geleden was er een infiltratie proef:
Er werden CD's voor de ingang van een bedrijf te verspreid;
werknemers namen deze mee en stopten deze uit
nieuwsgierigheid in hun computer; Windows auto-play startte
de autorun die op de CD was geplaatst met een call-home functie!
Geweldig die Windows security. Fantastisch!
Er werden CD's voor de ingang van een bedrijf te verspreid;
werknemers namen deze mee en stopten deze uit
nieuwsgierigheid in hun computer; Windows auto-play startte
de autorun die op de CD was geplaatst met een call-home functie!
Geweldig die Windows security. Fantastisch!
Daarnaast is het mogelijk om zelf een bericht weer te geven die aan
de gebruiker uitlegt waarom zijn of haar apparaat niet geinstalleerd wordt,
zoda ze de helpdesk niet hoeven te bellen.
Met nadruk op "hoeven"...de gebruiker uitlegt waarom zijn of haar apparaat niet geinstalleerd wordt,
zoda ze de helpdesk niet hoeven te bellen.
Door Jeroen-S
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Ik heb nog wel een lading usb/ps2 adapters in de aanbieding voor weinig,
zodat je USB toetsenborden en muizen het toch nog doen mocht je het
BIOS aanpassen.
De USB poorten kun je er ook gewoon uithalen. Of de kabeltjes loshalen of
doorknippen naar het moederboard.
doorknippen naar het moederboard.
05-10-2006, 14:36 door
e.r.
Anyway, als het echt goed werkt (hehe, zou het eens?) dan is het een zeer
welkome additie.
welkome additie.
Er is een simpele registry entry waarmee je Removeable
Storage Media op een XP systeem read-only zet. Het is wel
zaak die registry entry daarna via een policy dicht te
zetten anders rouleren er binnen enkele dagen .reg files om
deze weer terug te zetten.
http://www.windowsitpro.com/Article/ArticleID/44380/44380.html
BK
Storage Media op een XP systeem read-only zet. Het is wel
zaak die registry entry daarna via een policy dicht te
zetten anders rouleren er binnen enkele dagen .reg files om
deze weer terug te zetten.
http://www.windowsitpro.com/Article/ArticleID/44380/44380.html
BK
05-10-2006, 14:56 door
sjonniev
Leuk nagemaakt, maar voor Windows 2000 en XP zijn er al
jaren producten op de markt die dit deden.
jaren producten op de markt die dit deden.
05-10-2006, 15:27 door
G-Force
Door Jeroen-S
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Door Skizmo
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
USB en lijm ??? niet goed wijs. .. je kunt ook heel simpel
er voor zorgen dat de USB devicedriver niet gestart wordt. .
.en dat kan al sinds dat er USB is. . .
Je kan ook in je BIOS de USB controller uitschakelen, dan
hoef je er bij je policy ook niet op te letten dat je je
installatie en detectie van USB apparaten uitschakeld.
Ook het BIOS is te omzeilen hoor.
Het grootste voordeel van een policy ten opzichte van andere
oplossingen die hierboven gepost worden is dat dit veel
minder werk is. Nu hoef je als beheerder niet meer manueel
de optie in de bios uit te zetten/lijm te gieten/whatever te
doen. Nieuwe gebruikers die inloggen/aangenomen worden
krijgen zo automatisch deze policy toegewezen.
In grote IT omgevingen waarbij er veel aandacht aan security
wordt besteed is dit dus zeker handig.
Laat dit echter alsjeblieft uit de consumentenversie. Die
gebruiken dit toch niet, scheelt weer in potentiele lekken.
oplossingen die hierboven gepost worden is dat dit veel
minder werk is. Nu hoef je als beheerder niet meer manueel
de optie in de bios uit te zetten/lijm te gieten/whatever te
doen. Nieuwe gebruikers die inloggen/aangenomen worden
krijgen zo automatisch deze policy toegewezen.
In grote IT omgevingen waarbij er veel aandacht aan security
wordt besteed is dit dus zeker handig.
Laat dit echter alsjeblieft uit de consumentenversie. Die
gebruiken dit toch niet, scheelt weer in potentiele lekken.
05-10-2006, 15:32 door
G-Force
Jaren geleden al eens bij een bibliotheek gezien hoe de
floppydrive werd beveiligd met een insteekslot. In de
drivegleuf zat een fysieke insteekmodule die je vervolgens
met een sleutel kon afsluiten. Openbreken heeft dan geen
zin, want je vernield gegarandeerd het station en maakt de
zaak meteen onbruikbaar. Virussen laten infecteren via het
bibliotheek netwerk was dan gewoon niet mogelijk en gegevens
waren niet makkelijk steelbaar.
floppydrive werd beveiligd met een insteekslot. In de
drivegleuf zat een fysieke insteekmodule die je vervolgens
met een sleutel kon afsluiten. Openbreken heeft dan geen
zin, want je vernield gegarandeerd het station en maakt de
zaak meteen onbruikbaar. Virussen laten infecteren via het
bibliotheek netwerk was dan gewoon niet mogelijk en gegevens
waren niet makkelijk steelbaar.
05-10-2006, 15:59 door
SirDice
Lijm, kabeltjes losknippen, in de BIOS disablen... Allemaal leuk en aardig maar tegenwoordig hebben machine's niet eens meer een "normale" PS/2 aansluiting. Dus je zult je muis en keyboard dan toch via USB aan moeten sluiten.
En als ik het me goed kan herinneren kun je al sinds W2K USB mass storage devices uitschakelen. Dan doet je muis/keyboard het nog wel maar memorysticks, externe harddrives etc niet.. Kan ook middels grouppolicies... Nieuw is het dus niet..
En als ik het me goed kan herinneren kun je al sinds W2K USB mass storage devices uitschakelen. Dan doet je muis/keyboard het nog wel maar memorysticks, externe harddrives etc niet.. Kan ook middels grouppolicies... Nieuw is het dus niet..
de PC's die ik gebruik hebben alleen de mogelijkheid tot USB
toetsenbord en muis. Het uitschakelen van USB in de BIOS
heeft dan het leuke effect dat je alleen nog tegen je PC kan
gaan praten om iets gedaan te krijgen want typen is er niet
meer bij dan...
toetsenbord en muis. Het uitschakelen van USB in de BIOS
heeft dan het leuke effect dat je alleen nog tegen je PC kan
gaan praten om iets gedaan te krijgen want typen is er niet
meer bij dan...
05-10-2006, 21:44 door
bk
BIOS dicht, fysieke maatregelen, het slaat een beetje door.
De klant wil bepaalde USB functionaliteit en wij worden
betaald om dat veilig te implementeren. Dus ja, dan kom je
uit op group policies, Truecrypt of een ander encryptie
pakket dat nog veel meer kan.
De klant wil bepaalde USB functionaliteit en wij worden
betaald om dat veilig te implementeren. Dus ja, dan kom je
uit op group policies, Truecrypt of een ander encryptie
pakket dat nog veel meer kan.
06-10-2006, 07:32 door
Vinko
Dit is allemaal best grappig, maar naast het controleren van USB, dient
ook blootooth, infrarood etc te worden gecontroleerd/ beperkt.
Tegenwoordig is informatie op verschillende manieren van PC's af te
halen. Een wederom incomplete oplossing lijkt me!
ook blootooth, infrarood etc te worden gecontroleerd/ beperkt.
Tegenwoordig is informatie op verschillende manieren van PC's af te
halen. Een wederom incomplete oplossing lijkt me!
Ik heb nooit begrepen waarom sommige mensen die USB poorten dicht
willen zetten. Wat voegt het toe aan alle mogelijkheden die er al waren om
data mee te smokkelen, behalve hooguit een kwantitatief aspect ?
(Voordat iemand nu roept dat je via een USB-stikkie hele netwerkmappen
kan meenemen: alsof de hoeveelheid data die iemand mee kan
smokkelen zo spannend is ... louter de gevoeligheid van die data is van
belang !).
Als de PC's in een bedrijf goed zijn beveiligd (gebruikers kunnen niks
installeren, en data die naar buiten gaat wordt versleuteld) zie ik geen
enkele reden om gebruikers te pesten door die poorten dicht te zetten.
Bij deze een variant van een geschiedkundig beroemde uitspraak: in naam
van de klant, open die poort !!!
willen zetten. Wat voegt het toe aan alle mogelijkheden die er al waren om
data mee te smokkelen, behalve hooguit een kwantitatief aspect ?
(Voordat iemand nu roept dat je via een USB-stikkie hele netwerkmappen
kan meenemen: alsof de hoeveelheid data die iemand mee kan
smokkelen zo spannend is ... louter de gevoeligheid van die data is van
belang !).
Als de PC's in een bedrijf goed zijn beveiligd (gebruikers kunnen niks
installeren, en data die naar buiten gaat wordt versleuteld) zie ik geen
enkele reden om gebruikers te pesten door die poorten dicht te zetten.
Bij deze een variant van een geschiedkundig beroemde uitspraak: in naam
van de klant, open die poort !!!
Als je automatiseerders met lijm in de weer zijn geweest is het wellicht tijd
om ze te ontslaan.
Je kunt gewoon met hardware profielen de USB porten uitzetten en met de
juiste rechten zorgen dat men ze ook niet zonder toestemming van
systeem beheerder in gebruik kunnen nemen.
om ze te ontslaan.
Je kunt gewoon met hardware profielen de USB porten uitzetten en met de
juiste rechten zorgen dat men ze ook niet zonder toestemming van
systeem beheerder in gebruik kunnen nemen.
Fantastisch nieuws. De gemiddelde beheerder heeft namelijk
geen idee hoe hij/zij een policy kan schrijven voor bv XP of
2K stations.
Goed gedaan Mickeysoft!
geen idee hoe hij/zij een policy kan schrijven voor bv XP of
2K stations.
Goed gedaan Mickeysoft!
Door Anoniem
Fantastisch nieuws. De gemiddelde beheerder heeft namelijk
geen idee hoe hij/zij een policy kan schrijven voor bv XP of
2K stations.
Goed gedaan Mickeysoft!
Fantastisch nieuws. De gemiddelde beheerder heeft namelijk
geen idee hoe hij/zij een policy kan schrijven voor bv XP of
2K stations.
Goed gedaan Mickeysoft!
Dan zit die gemiddelde beheerder toch op de verkeerde plek
hoor! Group policys zijn de ruggegraat van een goed
doordachte beveiliging binnen een MS netwerkomgeving, en
maken bovendien het beheer een stuk overzichtelijker.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
