Goed verhaal van Martin Suess, niet nieuw voor de
frequentere lezers onder ons. Zijn PDF doorlezend schrik ik
van zijn 'oplossingsrichting': het disablen van de USB poort
in de registry.

Binnen onze organisatie was er al een beleid dat
mediadragers die niet van van het bedrijf zijn niet zonder
meer op het systeem mogen. Dus niet alleen USB, maar ook
Bluetooth en Infrarood apparaten zoals telefoons en PDA's.
Deze hebben tegenwoordig erg veel geheugen. Gebruikers
maakten ongecontroleerd gebruik van nieuwe technieken zonder
oog te hebben voor gevaren.

Wij hebben dus nadrukkelijk gezocht naar een oplossing die
daar opo aansloot.
Er bleven toen een 2-tal produkten over SafeBoot en
ControlGuard.
De laatste ( uit Israel) en had als voordeel dat het de
users/ groepen vanuit de Active Directory kon importeren en
syncen voor SecurityPolicies.
Dat vonden (en vinden) wij nog steeds de beste oplossing die
beheersbaar blijft, plus dat we het gebruik door
geauthoriseerde gebruikers goed kunnen monitoren.
ControlGuard is nu ook Nederland verkrijgbaar heb ik begrepen.

Tja, dan krijg je toestanden waarbij je een gebruiker, die zijn werk moet
doen, en daarvoor beter een USB stick kan gebruiken wordt geiriteerd en
geblokkeerd, terwijl een of ander eng israelisch bedrijf VOLLEDIGE
toegang krijgt tot je active directory...

Ik weet niet wat enger is, een gebruiker die z'n USB stick in prikt of een
beheerder die denkt dat al z'n informatie ter beschikking stellen aan zo'n
clubje veiliger is....
zucht.
AS

USB disablen is tegenwoordig geen optie meer. Waar moet je
dan je keyboard en muis aansluiten? Er zitten geen PS/2
poorten meer op.

Overigens kun je redelijk eenvoudig de Mass Storage Devices
uitschakelen zonder heel USB omzeep te moeten helpen.

Beetje simpel,

De beste Firewalls zijn CheckPoint en die komt ook uit Israel en Cisco PIX
en dat komt uit Amerika...

zo kan je overal wel bang van worden...

Wij hollanders zijn toch nuchter...

owja gelukkig is SafeBoot een NLD bedrijf...

Argument van "anoniem" is dat je in principe NIMMER
closed-software volledig kunt vertrouwen omdat je niet kunt
zien wat die allemaal doet of kan doen: als jij de code niet
kunt inzien, kun je niet weten of e.e.a. absoluut
betrouwbaar is.

Een terecht argument aldus, en daartegen is weinig in te
brengen.

Dat zei ik ook erna ;) Ik doelde meer op het disablen van USB in de BIOS. Dat is geen optie meer omdat dan je usb keyboard en muis niet meer werken.

Wij hebben hier een fantastische oplossing voor en dat is SDC , wat staat
voor Sanctuary Device Control. Met dit pakket heb je de volledige controle
over wat voor apparaten wel of niet aangekoppeld mogen worden en is
volledig geintregeerd met Active Directory. Wel moet er een client op het
werkstation geinstalleerd worden. Je kunt per persoon aangeven wat wel
en niet toegestaan is en kunt ook Shadowing aanzetten zodat gezien kan
worden wat gekopieerd wordt naar een USB stick voor iemand die wel de
rechten heeft.......

Hier een interessant artikel met een vergelijking van een aantal tools:

http://www.securitybyte.com/articles/device_control_solutions.ehtml

Wel al iets ouder, maar veel is er aan de producten niet veranderd.

Wat is veiligheid of veilig zijn!,..wij overtuigen onszelf dat we veilig zijn door
de maatregelen die ander ons aanbieden om de gevaarlijke openingen of
situaties te sluiten voldoende zijn. Je kunt van veiligheid spreken als jezelf
alles doet om onveilige situaties voor jezelf en andere te voorkomen of te
vermijden.
In het technisch tijdperk van vandaag is niets veilig te noemen omdat er
altijd mensen zijn die met kleinschalige en weinig middelen grote
gevolgen kunnen uitlokken of genereren.
Overtuig jezelf van één ding, dat veiligheid ...hoe zwart/wit ook altijd en
alleen door jezelf bepaald en gezet kan worden, de som hiervan (
collectief) bepaald de veilgheid van ons allen. De veiligheidsregels zijn een
lijdraad, niet een pad om blindelings te volgen. Misbruik binnen het
collectief in welke vorm dan ook zal ons altijd tarten.