|
Polityka zabezpieczeń dotycząca pamięci flash
|
| gorus1 |
Dodano 10-12-2013 20:06
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Witam!
Mam pod nadzorem czytelnię, w której komputery są udostępniane dla czytelników. Czytelnicy mają możliwość podłączania swoich pamięci flash do komutera, ale kilka razy już się zdarzyło, że komputer został zainfekowany pomimo zainstalowanego oprogramowania natywirusowego. Blokada portów USB nie wchodzi w grę natomiast czy jest jakiś sposób, który pozwoliłby mieć jakąś kontrolę nad tym co podłączają czytelnicy? Może jakiś hub siciowy USB lub router z portem USB? Może macie jakieś doświadczenia... |
| |
|
|
| maciej2 |
Dodano 12-12-2013 12:09
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Blokada instalowania programów (nie konto admina), do tego można rejestrować jakie pliki są otwierane (w sieci są do tego odpowiednie programy).
Zablokowanie możliwości otwieranie exe i innych wykonywalnych plików. Zostawić tylko dla dokumentów > txt pdf doc xls itp.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| michalb |
Dodano 12-12-2013 12:48
|
User
Posty: 189
Dołączył: 06/04/2007 15:48
|
Na początek zablokuj funkcjonalność autorun w rejestrze:
Infekcje z pendrive
Najlepszy byłby system uruchamiany z sieci, po resecie klienta wszystkie zmiany (wirusy) zostałyby skasowane,
poza tym miałbyś jeden obraz systemu dla wszystkich komputerów klienckich a przez to ułatwione zarządzanie.
Edytowany przez michalb dnia 12-12-2013 13:00
|
| |
|
|
| gorus1 |
Dodano 12-12-2013 20:41
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
maciej2 - niby mam zablokwane pliki wykonywalne w nod32, ale i tak w jakiś sposób już dwa razy zainfekowały się dwa różne komputery (prawdopodobnie właśnie przez USB).
michalb - co do systemu uruchamianego z sieci to w sumie logi zapisują się do pliku przez router z tomato, ale taki system nie daje głębszej kontroli w przypadku gdyby ktoś na prawdę nabroił i zaistniałaby potrzeba ingerencji w dysk (pliki temp, historia przeglądarki itp.) Ponadto brak aktualizacji programów - za chwilę użytkownicy przestaliby umieć obsługiwać programy gdyż ciągle wychodzą nowe wersje, jak również przeglądarki obsługują ciągle to nowe wtyczki... W sumie pomysł ciekawy http://www.ccboot.com/boot-windows-7...dows-7.htm , ale ostatnio znalazłem coś takiego http://www.welland.com.tw/html/usbip/...p/204.html i czy nie lepiej zmapować dyski na pulpicie użytkownika do pamięci flash podpiętej do urządzenia? |
| |
|
|
| maciej2 |
Dodano 12-12-2013 22:35
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Hub USB Ci nic nie da, bo i tak jeśli plik musi się otworzyć - komputer "ściąga" jego zawartość, a jak tam jest wirus to i się i tak wykona.
Oczywiście przed "ściągnięciem" możesz zrobić skan, ale to długo może trwać.
Oczywiście można dać usb i serfować tylko te pliki które są "w miare bezpieczne lub musza być udostępnione" reszta jest nie wyświetlana lub blokowana. Ale i to nie da gwarancji.
To może czas zmienić antywirusa. Nod32 nie jest aż chyba taki rewelacyjny (w sumie który jest  )
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| michalb |
Dodano 12-12-2013 23:56
|
User
Posty: 189
Dołączył: 06/04/2007 15:48
|
Właśnie system uruchamiany z sieci pozwala na większą kontrolę. Chcesz zmienić jeden program/ustawienie to robisz to raz w obrazie na serwerze i masz od razu to samo na wszystkich kompach w sieci. Co do dysków to stacje mogą mieć swoje lokalne albo połączone przez AoE i wtedy całą zawartość dysków/aktywność userów masz na serwerze (łatwiejszy backup). Jak chcesz kontrolować co userzy uruchamiając to oprócz "dysków" przenosisz na serwer również procesy - projekt LSTP. Ciekawym rozwiązaniem jest odchudzony Windows XP (około 250MB) ładowany za pomocą ipxe i http do pamięci RAM stacji klienckiej (uruchomienie systemu zajmuje parę sekund!)
http://reboot.pro/topic/17416-boot-winxp-from-http-server-by-grub4dos-and-gpxe/
Do dzielenie urządzeń usb w sieci można wykorzystać USBip (są pakiety na OpenWrt, na Tomato pewnie też).
Edytowany przez michalb dnia 13-12-2013 00:04
|
| |
|
|
| gorus1 |
Dodano 13-12-2013 02:10
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
maciej2 - to nie jest taki typowy Hub, który rozdziela porty USB, ale terminal, który urządzenie USB udostępnia w sieci więc chyba te pliki wykonywalne (wirusy) nie miałby jak się uaktywnić...
michalb - ciekawe to co piszesz, nawet bardzo bo podsunąłeś mi pomysł na wypsażenie salki szkoleniowej (podstawowa obsługa komputera dla seniorów), ale jak tu się ma sprawa licencji tj. udostępnianie takiego systemu nawet gdyby to była wersja BOX (nie mówiąc już o wersji OEM) chyba jest niezgodne z licencją... |
| |
|
|
| michalb |
Dodano 13-12-2013 11:47
|
User
Posty: 189
Dołączył: 06/04/2007 15:48
|
W sprawie licencji musiałbyś zasięgnąć rady u jakiegoś przedstawiciela MS, podejrzewam, że w takim przypadku będzie miała tutaj zastosowanie licencja VDI (Microsoft Desktop Virtualization licensing).
Na pewno tańszą i bardziej elastyczną alternatywą będzie Linux ale tutaj wszystko zależy od tego jakie programy mają być uruchamiane na stacjach klienckich. |
| |
|
' target='_blank'>Link
