Liebe EDV-Nutzer,
mein Arbeitgeber möchte an allen PCs die Laufwerke veriegeln, wegen der Sicherheit und weil angeblich alle anderen Firmen das auch machen. Ich persönlich halte davon gar nichts. Ich bin der Meinung, das man diese Sicherheit auch anders erreichen kann. Wie ist eure Meinung dazu, habt ihr auch gesperrte Laufwerke?Ich bin neugierig auf eure Antworten.
maren
Hi,
ich arbeite in einem Konzern mit ca. 20000 PC-Clients. Wir haben die Laufwerke unserer Rechner _nicht_ abgesperrt. Der Aufwand dafür wäre unverhältnismäßig hoch. Wenn man diese Art physikalischer Sicherheit haben möchte, wär’s am einfachsten, sämtliche Laufwerke für Wechseldatenträger auszubauen, denke ich.
Allerdings kommt es trotz maximaler Vernetzung immer mal wieder dazu, daß man irgendwelche Daten auf CD oder Diskette verwenden muß, insofern muß der Schritt überlegt sein.
Den Sicherheitsgewinn halte ich für marginal - was verhindert man denn durch sperren der Laufwerke? Unkontrolliertes Einbringen von Daten vielleicht. Wobei dieses auch durch eine ordentliche Benutzerverwaltung und aktuelle Virenscanner abgefackelt werden kann.
Eigentlich also eine überflüssige Maßnahme.
Gruß,
Doc.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hi Doc,
Den Sicherheitsgewinn halte ich für marginal - was verhindert
man denn durch sperren der Laufwerke? Unkontrolliertes
Einbringen von Daten vielleicht.
Eines kann man damit verhindern: daß der Anwender seinen Rechner mit einem anderen Betriebssystem bootet. Je nach Konfiguration könnte das schon zu einer ernstzunehmenden Bedrohungssituation führen.
Auch der Datenklau ist einfacher. Abgehende Emails können zentral gescannt, eine Diskette ist gut zu verstecken.
Gruß
J.
Den Sicherheitsgewinn halte ich für marginal - was verhindert
man denn durch sperren der Laufwerke? Unkontrolliertes
Einbringen von Daten vielleicht.
Auch der Datenklau ist einfacher. Abgehende Emails können
zentral gescannt, eine Diskette ist gut zu verstecken.
Das ist vermutlich auch der eigenliche Grund. Der „Datenklau“ und das private Arbeiten am PC (Briefe schreiben, etc.) lassen sich einschränken. Alles, was dann noch ins Unternehmen kommt oder es verlässt, muss über zentrale Stellen im Netzwerk laufen.
CU
Markus
mein Arbeitgeber möchte an allen PCs die Laufwerke veriegeln,
wegen der Sicherheit und weil angeblich alle anderen Firmen
das auch machen. Ich persönlich halte davon gar nichts. Ich
bin der Meinung, das man diese Sicherheit auch anders
erreichen kann. Wie ist eure Meinung dazu, habt ihr auch
gesperrte Laufwerke?Ich bin neugierig auf eure Antworten.
maren
Ich administriere mehrere Netzwerke mit bis ca. 120 PC. Wir haben eine derart rigide Sicherheitspolitik nicht. Aber auch bei uns erhalten nur bestimmte PC CD- oder Zip-Laufwerke. Diskettenlw setzen wir grundsätzlich nicht mehr ein, wo ein alter PC noch ein solches hat, ist es im Bios deaktiviert.
Zusätzlich gibt es eine Datenschutzverpflichtung der Mitarbeiter, die es diesen grundsätzlich untersagt, Datenträger bel. Art ohne explizite Zustimmung der EDV einzusetzen. Mir wäre eine vollständige Sperrung sämtlicher LW aus Sicherheitsgründen wesentlich lieber, da es nur so möglich ist, das Netz zentral vor Risiken zu schützen. Allerdings braucht man dann reine CD-Server, die dutzende oder hunderte CD vorhalten können (z. B. Lieferantenkataloge u. ä.)
Die Vorstellung von DocValde, ein Netzwerk durch aktelle Virenscanner vor Schäden zu schützen, finde ich niedlich. Virenscanner schützen vor Schadsoftware nicht, das einzige was davor schützt, ist ein sauberes Sicherheitskonzept, in dem alle Vorgänge im Netz über zentrale Knoten laufen und geprüft werden können. Der Virenscanner ist dann ein winziges Werkzeug im Gesamtkontext, und zwar das am ehesten verzichtbare.
In einem Netzwerk haben Wechseldatenträger auf den Clients nix zu suchen!
Liebe EDV-Nutzer,
Wie ist eure Meinung dazu, habt ihr auch
gesperrte Laufwerke?Ich bin neugierig auf eure Antworten.
maren
Ich hatte noch nie gesperrte Laufwerke, weil sie in meinen Netzwerken kontraproduktiv gewesen wären. Es hängt stark von der Anwendung ab, ob eine Sperrung notwendig ist oder nicht.
Ich habe viele Jahre ein universitäres Netzwerk mit 80 öffentlichen Clients administriert. Da kamen dann die Studis mit ihren Disketten und druckten auf unseren Laserdruckern die Arbeiten aus, die sie zuhause erstellt hatten.
Folge: (anfangs) Bootsektorviren, wo man hinsah 
Hätte ich die Laufwerke abgestellt, hätten aber viele Leute nicht mehr vernünftig arbeiten können.
In einem kleineren Netzwerk hatte ich eine Weile lang einen Haufen Webdesigner und Programmierer. Die mussten immer mal was nachinstallieren - die Programmierer mussten sogar Administrator-Rechte auf ihren NT-Maschinen haben.
Folge: hin und wieder zerschossene Rechner. Aber relativ selten, und keinerlei Infektionen durch Viren & Co. Aber ich selbst hätte unmöglich ständig die Wünsche der Nutzer erfüllen können, und so überließ ich es ihnen.
Sicherheit ist ein relativ leichtes Thema: es gibt sie schlichtweg nicht. Als Administrator bin ich verantwortlich dafür, dass der Krempel immer geht, und meine Feinde sind Email, Internet-Zugang, Disketten- und CD-Laufwerke, und vor allem die Notebooks des Außendienstes.
Also sind bei mir heute auf allen Maschinen Virenscanner installiert, der Mailserver scannt jede Mail, bevor sie ins Intranet weitergereicht wird, ein Proxy lässt nicht mehr jede Webpage ins Haus, ein Paketfilter hält die gröbsten Hacker und Kazaa ab.
Mal sehen, wie lange es hilft. Ich hab meine Einbrüche schon hinter mir. Irgendwann kommt bestimmt der nächste.
Das Abschalten der Laufwerke würde mir schon mal den Rücken freihalten vor den Benutzern im Netz, die eh alles besser wissen als der Admin Daher ist das Abschalten von Laufwerken auf denArbeitsplätzen, auf denen sie wirklich nicht gebraucht werden, schon eine vernünftige Sache.
stefan
Nachfrage
Also sind bei mir heute auf allen Maschinen Virenscanner
installiert, der Mailserver scannt jede Mail, bevor sie ins
Intranet weitergereicht wird, ein Proxy lässt nicht mehr jede
Webpage ins Haus, ein Paketfilter hält die gröbsten Hacker und
Kazaa ab.
Wie sicherst du dich vor der Benutzung von Webmailern? Machst du das über den Proxy? Wenn ja, wie realisierst du das? Oder hast du da eine andere Lösung?
Gruss,
Schorsch
Hallo,
habt ihr euch schon mal die Daumen grossen USB Speichersticks mit bis zu einem GIGABYTE angesehen.
Und versucht mal die unter Win2K oder XP zu sperren 
Mfg. Frank
habt ihr euch schon mal die Daumen grossen USB Speichersticks
mit bis zu einem GIGABYTE angesehen.Und versucht mal die unter Win2K oder XP zu sperren
Hallo Frank!
Interessante und kostspielige Idee, aber auch das sollte kein Problem sein: AFAIK ist es möglich, einem Nutzer das Hinzufügen neuer Hardware zu untersagen.
CU
Markus
und wie (habe gerade das Problem) ??? (o.T.)
.
Probiere mal folgendes:
gpedit.msc -> Computerkonfiguration -> Windows Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Laden und Entfernen von Gerätetreibern
CU
Markus
Leider nicht…
wenn ich trotz dieser Einstellungen als normaler User z.B. eine USB Flashdisk an den Rechner stecke, habe ich vollen Zugriff darauf (und könnte z.B. wichtige Dokumente mit nach Hause nehmen… oder Spiele/Viren mitbringen etc.).
Hast Du noch andere Vorschläge ??
M. Baudisch
PS: trotzdem Danke!!
wenn ich trotz dieser Einstellungen als normaler User z.B.
eine USB Flashdisk an den Rechner stecke, habe ich vollen
Zugriff darauf (und könnte z.B. wichtige Dokumente mit nach
Hause nehmen… oder Spiele/Viren mitbringen etc.).
Das ist seltsam. Könnte es sein, dass der Treiber bereits auf dem System installiert war, bevor Du die Beschränkung aktiviert hast?
Suche doch mal nach den zugehörigen Dateien des Treibers (siehe *.inf Datei in /windows/inf/) und entferne diese Dateien.
CU
Markus
Hi,
Suche doch mal nach den zugehörigen Dateien des Treibers
(siehe *.inf Datei in /windows/inf/) und entferne diese
Dateien.
Das Problem ist, daß diese Treiber immer installiert sind: es ist einmal der USB-Treiber und das Mounten eines Laufwerks. Die Kombination speziell zu sperren erscheint mir schwierig, wenn überhaupt gangbar.
Gruß
J.
Ich hatte noch nie gesperrte Laufwerke, weil sie in meinen
Netzwerken kontraproduktiv gewesen wären. Es hängt stark von
der Anwendung ab, ob eine Sperrung notwendig ist oder nicht.
es hängt wohl mehr von den anwendern ab anstatt von den anwendungen.
Folge: (anfangs) Bootsektorviren, wo man hinsah
die Laufwerke abgestellt, hätten aber viele Leute nicht mehr
vernünftig arbeiten können.
nun, in normalen firmen gibt der arbeitnehmer seine arbeitskraft an die firma ab und arbeit somit auch in der firma! (lt. vertrag)
dafür stellt der arbeitgeber technik etc. zur verfügung.
homeoffice ist ein speziallfall … da sollte der datenaustausch ebenfalls speziell eingerichtet sein.
es ist m.E. wenig produktiv wenn firmeninterne dinge auf irgendeine weise unkontrolliert die firma verlassen - sein es disketten oder unverschlüsselte emails.
was wohl der geschätsführer davon hält wenn firmeninternas plötzlich auf irgendeinem notebook oder datenträger ausserhalb der firma auftauchen; oder wenn ein mitarbeiter seine emailweiterleitung nach aussen selbst eintragen kann…
aber bei einer uni wird ja nichts produziert … da bedeutet Sicherheit vielleicht was anderes.
In einem kleineren Netzwerk hatte ich eine Weile lang einen
Haufen Webdesigner und Programmierer. Die mussten immer mal
was nachinstallieren - die Programmierer mussten sogar
Administrator-Rechte auf ihren NT-Maschinen haben.
das ist eigentlich was anderes … solchen leuten kann man ein fundiertes wissen um datenschutz und viren etc. unterstellen (oder fordern)
Sicherheit ist ein relativ leichtes Thema: es gibt sie
schlichtweg nicht. Als Administrator bin ich verantwortlich
die sicherheit ist immer so groß wie der schwächste (oder kreativste) mitarbeiter …
Also sind bei mir heute auf allen Maschinen Virenscanner
installiert, der Mailserver scannt jede Mail, bevor sie ins
und jemand mit disketten oder einem zip umgeht dieses „problem“ wunderbar ohne das es ein admin oder die GF auch nur mitbekommt.
Das Abschalten der Laufwerke würde mir schon mal den Rücken
freihalten vor den Benutzern im Netz, die eh alles besser
wissen als der Admin
Laufwerken auf denArbeitsplätzen, auf denen sie wirklich nicht
gebraucht werden, schon eine vernünftige Sache.
und an den anderen rechnern auch weil die user ja in dem fall kreativität entwickeln -> „warum soll ich denn zum admin gehen und meine diskette scannen lassen wenn nebenan das laufwerk freigeschaltet ist“ …
der admin sollte restriktiv handeln und nicht den schwachstellen hinterkehren - also: nur das freigeben was erlaubt ist und nicht - nur das unterbinden was verboten ist.
andersrum gehen nämlich die meisten user ran: was nicht verboten ist, ist erlaubt.
z.b. wenn manche leute „drucken“ auswählen ohne zu schauen was für ein drucker ausgewählt ist … und sich dann wundern wenn der ausdruck in einem anderen teil des konzernes rauskommt, dann ist das zum einen falsche bediedung zum anderen könnte es richtig sein.
die frage ist nur ob man allen mitarbeitern das wissen vermittelt diesen unterschied zu erkennen oder ob man es als admin einfach festlegt (ein drucker pro abteilung e.ä.)
der beste admin hat eigentlich nichts mehr zu tun - jeder MA kann mit seinem rechner SEINE arbeit (für die firma) machen … nicht mehr und nicht weniger.
stefan
STK
mein Arbeitgeber möchte an allen PCs die Laufwerke veriegeln,
wegen der Sicherheit und weil angeblich alle anderen Firmen
das auch machen.
Ist eigentlich allgemein bekannt, wie tierisch remote X regelt?
Ich persönlich halte davon gar nichts. Ich
bin der Meinung, das man diese Sicherheit auch anders
erreichen kann.
Sicherheit erreicht man nicht, indem man vernünftiges Arbeiten erschwert sondern duch Schulung der Anwender und eventuellen LART[tm].
Wie ist eure Meinung dazu,
Bei uns ist das ein Produkrtivitätskiller.
habt ihr auch
gesperrte Laufwerke?
Ja. Dafür ist er Rest des Setups so luschig, daß man auch einen Button „Install Back-Orifice“ per Default auf die Desktops werfen könnte.
ich arbeite in einem Konzern mit ca. 20000 PC-Clients. Wir
haben die Laufwerke unserer Rechner _nicht_ abgesperrt.
Ja. Und wenn ich nach Hause gehe, stecke ich den Rechner „auf Arbeit“ brav ins Netzwerk zurück und rekonfiguriere die Netzwerkparameter meines Laptops…
Kids, don’t do this at work. Really!
Eigentlich also eine überflüssige Maßnahme.
Yebo.
Sebastian