Dateitypen für USB-Sticks sperren

Internet Internet Sicherheit
#1

Hi,

auf http://www.wer-weiss-was.de/cgi-bin/www/service.fpl?.. wird auf Artikel verwiesen, welche sich mit dem grundsätzlichen Sperren von USB-Ports und ähnlichen Geräten berichten. Ich führe gerade ein solches Konzept bei uns in der Firma ein und bin mit dem Tool aus dem heise-Bereich (der Portwart der c’t) recht zufrieden. Allerdings muss ich für einige Benutzer Zugriffe auf Disketten und andere Wechseldatenträger gewähren, die ein Sicherheitsrisiko für mich als Admin darstellen. Deshalb suche ich eine Möglichkeit, das Vorhandene um Dateitypen-Begrenzungen oder um Schreibschutz pro Benutzer zu erweitern. Leider gibt es nur eine Handvoll ziemlich teurer Tools. Meine Frage daher: Wie könnte man sowas selbst realisieren? Hat sich jemand schon einmal damit beschäftigt und kann mir Tips geben? Gibt es vielleicht noch weitere URLs, wo ich mich schlaulesen könnte? Um Antworten wäre ich echt dankbar…

cu,
cjmatsel

#2

Hi,

nur kurz:

Deshalb suche ich eine Möglichkeit,
das Vorhandene um Dateitypen-Begrenzungen

das kannst Du vergessen. Der Dateityp ist kein zuverlässiges Filterkriterium und ausgesprochen simpel zu ändern, zu verstecken und zu verschleiern.

oder um Schreibschutz pro Benutzer zu erweitern.

Es sollte möglich sein, die vorhandenen Möglichkeiten (außer der BIOS-Variante) auf einzelne Benutzer zu beschränken. Insoweit das mit einem Registry-Eintrag gemacht wird, bietet sich ein Startscript für die betr. Buntzer an.

Gruß,

Malte

#3

Hi,

nur kurz:

Deshalb suche ich eine Möglichkeit,
das Vorhandene um Dateitypen-Begrenzungen

das kannst Du vergessen. Der Dateityp ist kein zuverlässiges
Filterkriterium und ausgesprochen simpel zu ändern, zu
verstecken und zu verschleiern.

Dem stimme ich so nicht zu. Wenn die Endungen nicht angezeigt werden (wir gehen hier von einem System aus, welches von MIR administriert wird), dann möchte ich diese Möglichkeit in Betracht ziehen. Zudem gibt es Software, welche sowas sehr wohl beherrscht, wie die Firma behauptet http://www1.centertools.de/ShowSubSiteContent.asp?Si… . Also wie machen die das dann??
Ergo muss es doch möglich sein, die Betriebssystemaufrufe nach den Endungen abzufangen. Windows stellt ja daraufhin auch die entspr. Symbole dar

oder um Schreibschutz pro Benutzer zu erweitern.

Es sollte möglich sein, die vorhandenen Möglichkeiten (außer
der BIOS-Variante) auf einzelne Benutzer zu beschränken.
Insoweit das mit einem Registry-Eintrag gemacht wird, bietet
sich ein Startscript für die betr. Buntzer an.

Ich hatte eben an eine Erweiterung des vorh. Scriptes gedacht…

cu,
cjmatsel

#4

Ergo muss es doch möglich sein, die Betriebssystemaufrufe nach
den Endungen abzufangen. Windows stellt ja daraufhin auch die
entspr. Symbole dar

Eben! Wenn ich z. B. eine *.exe-Datei nach *.doc umbenenne, wird sie bei mir mit dem OpenOffice-Symbol angezeigt. Und nichts hindert mich, diese Datei wieder nach .exe umzubenennen und auszuführen, auch nicht auf einem von dir administrierten System. Ob DriveLock da tatsächlich mehr bietet, kann ich nicht beurteilen. Dessen Prüfmechanismen sind offenbar so geheim, dass es mir mit den von mir verwendeten Browsern nicht möglich ist, die entspr. Feature-Seite aufzurufen.

Gruss
Schorsch

#5

Ergo muss es doch möglich sein, die Betriebssystemaufrufe nach
den Endungen abzufangen. Windows stellt ja daraufhin auch die
entspr. Symbole dar

Eben! Wenn ich z. B. eine *.exe-Datei nach *.doc umbenenne,
wird sie bei mir mit dem OpenOffice-Symbol angezeigt. Und
nichts hindert mich, diese Datei wieder nach .exe umzubenennen
und auszuführen, auch nicht auf einem von dir administrierten
System. Ob DriveLock da tatsächlich mehr bietet, kann ich
nicht beurteilen. Dessen Prüfmechanismen sind offenbar so
geheim, dass es mir mit den von mir verwendeten Browsern nicht
möglich ist, die entspr. Feature-Seite aufzurufen.

Das ist etwas OT, und ist nicht das Thema dieser Frage. Wenn Du die Endungen nicht siehst, kannst Du sie auch nicht umbenennen. Ich denke nicht, dass die Mechanismen so geheim sind.

Gruss
Schorsch

#6

Hi Schorsch,

ein File ohne Endung richtig zu identifizieren ist so schwer nicht. Ein Programm zu täuschen aber auch nicht. :smile:
In Exe-Files steht am Anfang immer ‚MZ‘, in Zip-Dateien immer ‚PK‘ … das lässt sich aber natürlich auch ändern. Wenn man das prüft, fängt man nur die, die meinen, mit umbenennen wäre es getan. Sobald die Datei mit einem eigenen Algorithmus, den Win nicht kennen kann, verschlüsselt ist, wird die von jedem Programm als Textfile identifiziert. Dagegen gibt es keinen Schutz.

Gruß, Rainer

#7

Hi,

Das ist etwas OT, und ist nicht das Thema dieser Frage. Wenn
Du die Endungen nicht siehst, kannst Du sie auch nicht
umbenennen. Ich denke nicht, dass die Mechanismen so geheim
sind.

wenn ich auf ‚Datei umbenennen‘ klicke, wird die Endung angezeigt. Das kannst Du nicht verhindern. Du kannst auch nicht verhindern, daß eine .exe mit dem Wordpad geöffnet wird, die erstn beiden Zeichen geändert und als .txt gespeichert.
Alles, was Du in diese Richtung tust, kann nur DAUs abwehren. Sicherheit bekommst Du nur mit der Policy. Nur wenn der User nur bestimmte Programme starten kann und keine dabei sind, die Manipulationen ermöglichen, kannst Du verhindern, daß .exe-Files kopiert werden.

Gruß, Rainer

#8

Das ist etwas OT, und ist nicht das Thema dieser Frage. Wenn
Du die Endungen nicht siehst, kannst Du sie auch nicht
umbenennen.

Sorry, aber das bringt genau gar nichts.
Diese Option (die Windows leider per default eingestellt hat) ist eine der dümmsten Ideen in puncto Userquälerei, auf einem System, das Dateiendungen eine derartige Bedeutung gibt, wie Windows das tut.

Gerade eben ausprobiert:
Eine beliebige Datei mit einer dem System nicht bekannten Endung kann trotz dieser Option jederzeit in *.exe umbenannt werden - daraufhin verschwindet die Endung zwar und ist nicht mehr editierbar, aber die Datei wird ausfürbar, und das reicht ja schon.

LG
Stuffi

#9

wenn ich auf ‚Datei umbenennen‘ klicke, wird die Endung
angezeigt. Das kannst Du nicht verhindern. Du kannst auch
nicht verhindern, daß eine .exe mit dem Wordpad geöffnet wird,
die erstn beiden Zeichen geändert und als .txt gespeichert.

Also Wordpad oder andere unter Windows mitinstallierte Text!-Editoren sind für diesen Zweck definitiv nicht geeignet. Tatsächlich sind die Möglichkeiten, in einem speziell dahingehend, mit vielem Aufwand entsprechend gesicherten System, die ersten beiden Zeichen ausführbarer Dateien aus- und wieder zurückzutauschen, so gering, dass man hier immerhin von security by obscurity sprechen könnte.

Sobald ich aber in die Kommandozeile komme - und dahin komme ich immer, wenn mir der Zugriff auf den Explodierer nicht wirksam verwehrt wird - ist dieser Schutz dahin.

Gruss
Schorsch

#10

Hi,

Deshalb suche ich eine Möglichkeit,
das Vorhandene um Dateitypen-Begrenzungen

das kannst Du vergessen. Der Dateityp ist kein zuverlässiges
Filterkriterium und ausgesprochen simpel zu ändern, zu
verstecken und zu verschleiern.

Dem stimme ich so nicht zu. Wenn die Endungen nicht angezeigt
werden (wir gehen hier von einem System aus, welches von MIR
administriert wird), dann möchte ich diese Möglichkeit in
Betracht ziehen. Zudem gibt es Software, welche sowas sehr
wohl beherrscht, wie die Firma behauptet
http://www1.centertools.de/ShowSubSiteContent.asp?Si…
. Also wie machen die das dann??
Ergo muss es doch möglich sein, die Betriebssystemaufrufe nach
den Endungen abzufangen. Windows stellt ja daraufhin auch die
entspr. Symbole dar

Dann ändere ich eben die Dateinamenserweiterung und die ersten 10 Bytes der Datei und mache das hinterher wieder rückgängig, und schon ist Dein Schutz für die Katz’.

Gruß,

Malte

#11

Ich möchte doch nur wissen, WIE man das machen kann… Ich plane extra eine Berechtigungs- und AD-Struktur (mit den entspr. Sicherheitseinstellungen), und ne ganze Mege Leute hier erzählen mir, was alles NICHT geht. Dies finde ich eine recht negative Haltung und hilft mir nicht wirklich weiter. Ist es denn schlimm, wenn wir DAUs in unserem Netzwerk haben? Die meisten Script-Kiddies haben nicht mal richtig Ahnung von dem, was Sie tun… Ich finde es schade, dass niemand gewillt ist, mir eine Antwort auf die Frage zu geben. Deshalb gehe ich davon aus, dass mir niemand eine Antwort geben will oder kann. Schade…

#12

Ich möchte doch nur wissen, WIE man das machen kann… Ich
plane extra eine Berechtigungs- und AD-Struktur (mit den
entspr. Sicherheitseinstellungen), und ne ganze Mege Leute
hier erzählen mir, was alles NICHT geht. Dies finde ich eine
recht negative Haltung und hilft mir nicht wirklich weiter.

Das, was Du vorhast, ist aus den schon ausführlich erklärten Gründen nicht möglich. Das hat nicht mit einer Willigkeit oder Fähigkeit zu antworten zu tun.

Gruß,

Malte

#13

Hallo Rainer,

In Exe-Files steht am Anfang immer ‚MZ‘,

Das stimmt nur bedingt.
„MZ“ ist die Header-Identifikation der alten DOS-EXE.
Seit Windows enthält eine neue EXE noch einen Vorspann mit einem DOS-Programm, welches dann den Text „diesews Programm kann nur unter Windows…“ anzeigt. Deshalb findet man „MZ“ heute noch am Anfang, der eigentliche Header befindet sich weiter hinten in der Datei und ist entweder „NE“ oder „PE“.

Aber eine COM-Datei kannst du so nicht erkennen, weil die gar keinen Header hat, da ist das erste Byte schon der Code, welcher an Adresse 100h abgelegt wird.

Hinzu kommt noch, dass jede beliebige Text-Datei mit „MZ“ beginnen kann.
WIrd dann etwas doof, wenn jemand das Kürzel „MZ“ verwendet und sich gewohnt ist seine Notizen oben Links mit seinem Kürzel zu kennzeichnen…

Das eigentliche Problem ist, dass DOS und Windows die Dateien nur über die Endung des Dateinamens identifizieren.
Bei Unix, hat jede Datei einen Vorspann, welche den Dateityp identifiziert und zusätzlich muss noch das Execute-Flag im den Dateiattributen gesetzt sein.

MfG Peter(TOO)

#14

Ich möchte doch nur wissen, WIE man das machen kann… Ich
plane extra eine Berechtigungs- und AD-Struktur (mit den
entspr. Sicherheitseinstellungen), und ne ganze Mege Leute
hier erzählen mir, was alles NICHT geht.

Du kannst hingehen, und in den Sicherheitsrichtlinien hinterlegen, dass unter bestimmten Anmeldungen auf bestimmten Rechnern nur bestimmte Anwendungen gestartet werden dürfen. Dann können die Leute TollesSpiel.exe oder MyVeryOwnVirus.com vom USB-Stick nicht mehr starten. Aber das ist erstens mit einem enormen Aufwand verbunden und zweitens taucht spätestens nächsten Donnerstag der erste USB-Stick mit dem nach ErlaubteAnwendung.exe umbenannten Spiel auf.

Und das dürfte für Daemons, die sich zwischen Anwender und USB-Sticks stellen, in gleichem Maße gelten: Wenn ein Zugriff erlaubt werden muss, kann Mißbrauch getrieben werden. Ich halte es daher für wesentlich sinnvoller, die evtl. Folgen eines solchen Mißbrauchs zu minimieren. Indem du z. B. die Rechner, für die externe Laufwerke freigegeben sein müssen, in ein eigenes VLan stellst. Segmentieren des Netzes, Härten der Server, strikte Regeln der internen Rechner-Kommunikation (wer darf was mit wem…).

Dies ist zumindest (in groben Zügen) die Konsequenz, die ich aus einem schwerwiegenden, glücklicherweise aber glimpflich abgelaufenen Vorfall mit einem der wenigen freigegebenen CD-Laufwerken bei uns im Hause gezogen habe. Du kannst mir also glauben, dass ich mich mit dieser Thematik sehr eindringlich befasst habe. Allerdings ist das keine Sache von ein paar hundert Euro oder ‚mal eben machen‘. Da können von der Planung bis zu Realisierung schon ein paar Monate ins Land ziehen.

Gruss
Schorsch

1 Like
#15

Hi,
für mich gilt, daß ich nicht wüßte, wie ich das anstellen sollte … moment, ich hae eine Idee für Dich, Stecker abziehen. Dann geht der USB-Anschluß nicht mehr und ohne Schrauben erfahren Deine Anwender nicht warum.
Gruß, Rainer

#16

Ich möchte doch nur wissen, WIE man das machen kann… Ich
plane extra eine Berechtigungs- und AD-Struktur (mit den
entspr. Sicherheitseinstellungen), und ne ganze Mege Leute
hier erzählen mir, was alles NICHT geht.

Du kannst hingehen, und in den Sicherheitsrichtlinien
hinterlegen, dass unter bestimmten Anmeldungen auf bestimmten
Rechnern nur bestimmte Anwendungen gestartet werden dürfen.
Dann können die Leute TollesSpiel.exe oder MyVeryOwnVirus.com
vom USB-Stick nicht mehr starten. Aber das ist erstens mit
einem enormen Aufwand verbunden und zweitens taucht spätestens
nächsten Donnerstag der erste USB-Stick mit dem nach
ErlaubteAnwendung.exe umbenannten Spiel auf.

Es geht mir ja nicht mal um *.exe-Dateien (die würde ich wahrscheinlich eher komplett ausschliessen; es gibt sogar Software, die überwacht und startet ein Programm nur, wenn es dem Admin gehört), es geht um dateien, welche nicht unbedingt die Firma verlassen sollten.

Es würde ja schon reichen, ein Überwachungskonzept auf die Beine zu stellen, welche Dateien auf USB-Sticks kopiert wurden. Hast Du noch nie über sowas nachgedacht??

Warum immer gleich Sperren einrichten?! Das dann die User die Dateien umbenennen, ist doch vollkommen klar! Vor allen Dingen, wenn dazu noch eine aussagekräftige Fehlermeldung auftaucht: … darf Dateiendung xyz nicht kopieren…

Mich ärgert die Negativ-Einstellung einiger Forums-User hier…
Ich habe zumindest das Script aus der c’t, das prüft aber (nur) alle 2 Sekunden…

Die Idee mit dem VLAN ist zwar gut, aber bedarf, das sehe ich so wie Du, einiges mehr an Planung und ist nicht einfach so umsetzbar…

cu,
cjmatsel

#17

es geht um dateien, welche nicht unbedingt die Firma verlassen sollten.

Das ist ein Problem welches mit technischen Mitteln nicht zuverlässig lösbar ist, sofern den betr. Maschinen Kommunikation mit der Außenwelt erlaubt ist. Wer was anderes behauptet, der lügt.

Mich ärgert die Negativ-Einstellung einiger Forums-User hier…

Mich ärgert die Erkenntnisresistenz anderer Forums-user hier.

Mal wieder ein passender Moment für einen meiner Lieblingssprüche:
Soziale Probleme lassen sich nicht durch technische Maßnahmen lösen.
Schreib in eure SecPol rein, daß Dateien der Sicherheitsstufe XYZ das Unternehmen unter keinen Umständen verlassen dürfen, Unterschrift vom Chef drunter, fertig.

Bei erhöhtem Sicherheitsbedarf kann man das Spiel auch noch beliebig weiter treiben - wie sicher hättest Du es denn gerne?

Insgesamt habe ich den Eindruck, daß Dir noch nicht mal wirklich genau klar ist, was Du eigentlich wovor schützen möchtest. Zumindest ist das aus Deinen Artikeln nicht wirklich erkennbar.

Gruß,

Malte