Zablokování USB Mass Storage s vyjímkou Flashdisců

[Gappa]

Zdravim,

potřebuji to, co jsem napsal v nadpisu, jedná se o univerzitní počítače v knihovně, kde jsou nainstalovány WinXPsp2. Potřebujeme zamezit přístup lidí, kteří si tam nosí USB rámečky s HDD a sosaj na 100mbitu

To se nám samozřejmě nelíbí, nehledě na to, že kdyby na to přišlo vedení univerzity, tak je průšvih...

Jde nám tedy o to, že sice chceme studentům povolit nosis si práci na USB Flashdicscích, ale zakázat USB HDD.

Myslim, že by to šlo nějak rozlišit, protože klíčenka se hlásí jako "výměnitelný disk" a HDD je prostě "HDD".

Zatim jsem to řešili dosti radikálně - a to na úrovni biosu (a zaheslovat bios samozřejmě). Nechceme ale uplně zakázat klíčenky, protože nosit dneska něco na disketách...

Takže, pokuď víte o nějakým programu, utilitě, tak určitě napište svoje tipy, v pohodě je i placený software (univerzita zacvaká).

Díky za rady

[howard]

To podle me v XPckach nejde, cetl jsem o tom clanek, dost to kritizovali. Samozrejme majkrosoft nehne ani brvou, protoze by se spatne prodavali budouci longhorny.
Nebylo by resenim jenom kontrolovat traffic?

[puki]

toto http://www.securewave.com/sanctuary_DC.jsp, niekto skusal ako moznost podobnu tej tvojej, teda to je odkaz kam ma nasmeroval google po zadani mena 'secureNT' co je to co bolo odporucene

viac o tom neviem, nebol som to ja a islo o zamedzenie write pristupu

ale podla toho co sa to pise dokaze to rozoznavat typu hw aj ked su pripojene na usb takze by nemal byt problem zakazat len hdd



tak este ma napada 'lacne' riesenie ... ktore som prave zavrhol pretoze ak je pc na nete tak obmedzovanie dostupnosti driverov je marna praca
jedine zakazat v group policy celkovo instalacie hw a predinstalovat drivery na flash disky

[Gappa]

Compy v knihovně samozřejmě nejedou pod admin účtem, uživatel se tam přihlašuje na Novell (aby měl svuj discspace) a ve Windows pracuje jako guest.

Nejsme sebevrazi, abysme nechali lidi browsit s admin účtem

Zamezit zapisování na USB Mass Storage - tim vlastně zabíjim celou myšlenku Flashdisců, že si něco přinesu, budu na tom dělat a zase si to odnesu.

Kontrolovat traffic? Množství? To ale nezamezí lidem, aby si tam ten disc připojili a stahovali třeba po malejch částech...neni problém je vyhodit, problém je v tom, že se vrátí a bude jich víc

[Rainbow]

A 1GB flash disk sa bude riesit ako?

[Geeker]

2: Gappa nejsi nahodou ze Zlina . To je na Zlin podobne.

BTW. Jestli je Vas problem ve stahovani s vymenych siti proc tam nenahodite firewall??

[Gappa]

Rainbow: jasný no, ale pokuď člověk chce zajistit určitej komfort práce na těch počítačích, tak nám nic jinýho ani nezbejvá, to je jako zakázat nože, že se s nima vraždí Zkusim ještě pogooglit, jestli by se na to nenašla nějaká utilitka, nejlíp s white/blacklistama s vzdálenym přístupem po LAN

Geeker: ne, ze Zlína nejsem, ale koukám, že s timhle sou problémy všude ) Jedná se o Liberec.

[howard]

...neni problém je vyhodit, problém je v tom, že se vrátí a bude jich víc

LOLZ
co mi to pripomina?

Firewall ale nezabrani stahovani klidne celych ISO pres http...jeste i dnes se daj sehnat linky. Ja bych je nechal, ale nejak by to chtelo kontrolovat velikost souboru a umerne velikosti zpomalovat net, oni by si to rozmysleli travit tam mladi, kdyz by jim jelo 700MB 5kB/s.

EDIT: Jinak na ZCU v Plzni to resi VNCckama. Na vsech kompech v knihovne jsou VNC a operatori koukaji k lidem, co delaji.....a pak vas jdou vyhodit. PEKNY SVINSTVO mimochodem.

[Jezevec]

LOLZ
co mi to pripomina?

Firewall ale nezabrani stahovani klidne celych ISO pres http...jeste i dnes se daj sehnat linky. Ja bych je nechal, ale nejak by to chtelo kontrolovat velikost souboru a umerne velikosti zpomalovat net, oni by si to rozmysleli travit tam mladi, kdyz by jim jelo 700MB 5kB/s.

EDIT: Jinak na ZCU v Plzni to resi VNCckama. Na vsech kompech v knihovne jsou VNC a operatori koukaji k lidem, co delaji.....a pak vas jdou vyhodit. PEKNY SVINSTVO mimochodem.

Az na to, ze to VNC by se dalo brat i jako poruseni zakona. Ten komp v knihovne se totiz da brat jako verejnej a to smirovani pres vnc jako nezakony odposlech.

2Gappa: Pokud nejsou jako admins, tak jim proste neumoznis spustit jinej nez nainstalenej SW (tim eleliminujes p2p), pokud jde o ftp/http, proste bych omezil rychlost na nakou 256kbit (tim myslim ven z univerzitni site, uvnitr je to asi putna) a pokud by nekdo potreboval nutne neco vetsiho, tak by si prisel za manikem co tam stejne nekde sedi ne ?

Ja jen nevim wocogo, co si pamatuju z FELu, tam nikdo na ucebnach nikdy nic neomezoval. Maximalne pokud byla fronta lidi, tak se "hlidac" zved, obesel to a pokud nekdo gamesil/delal jiny <>iny tak ho proste vyhodil. Navic tam treba na zacatku semestru byly kompy na kterejch neslo nic jinyho nez se lognout do systemu skoly (zapis predmetu ...). Nejakej traffic je nejak vubec nezajimal, ono koho by bavilo sedet u toho kompa a neco sosat, kdyz to na koleji muze mit behem par minut na hdd po LAN, pripadne za par s z kamosova hdd.

[Gappa]

Jezevec: no, nevim, jestli by se týpkum z LIANE (un. sítě) chtělo nějak nastavovat omezení rychlosti, ale snad uznáš, že univerzitní knihovna zrovna neni to pravý místo na stahování warezu, že (pominu kabinety doktorandů a koleje, co oči nevidí, srdce nebolí...). Jde jenom o to, že tam občas chodí kontrola a známej by měl kuli tomu dost problém a on nema čás lítat po celý knihovně a sledovat, kdo kde nahodil DCčko, je tam od toho, aby jim zajišťoval tisk a pomoc s heslama a tak.

Btw, jakym nastavením/softem jim to zakážu (spouštět jinej soft)? DCčko se neinstaluje

[Geeker]

Nainstaluj vsude firewally. A hotovo

[Jezevec]

Jezevec: no, nevim, jestli by se týpkum z LIANE (un. sítě) chtělo nějak nastavovat omezení rychlosti, ale snad uznáš, že univerzitní knihovna zrovna neni to pravý místo na stahování warezu, že (pominu kabinety doktorandů a koleje, co oči nevidí, srdce nebolí...). Jde jenom o to, že tam občas chodí kontrola a známej by měl kuli tomu dost problém a on nema čás lítat po celý knihovně a sledovat, kdo kde nahodil DCčko, je tam od toho, aby jim zajišťoval tisk a pomoc s heslama a tak.

Btw, jakym nastavením/softem jim to zakážu (spouštět jinej soft)? DCčko se neinstaluje

Teoreticky by melo jit omezit prava na spousteni na adresar program files a zakazat tam zaroven zapis. Do widli co se prav tejce moc nevidim (doma gamesim samo jako admin, paac nehodlam vecne resit proc neco nefunguje) na tucnakovi to jde urcite . Problem by ti nastal v ucebne, kde lidi prgaj, tam chtej logicky nejspis i pustit to co naprgali.

[puki]

Rainbow: jasný no, ale pokuď člověk chce zajistit určitej komfort práce na těch počítačích, tak nám nic jinýho ani nezbejvá, to je jako zakázat nože, že se s nima vraždí Zkusim ještě pogooglit, jestli by se na to nenašla nějaká utilitka, nejlíp s white/blacklistama s vzdálenym přístupem po LAN

Geeker: ne, ze Zlína nejsem, ale koukám, že s timhle sou problémy všude ) Jedná se o Liberec.

a skusal si poziadat o evaulation verziu toho systemu co som ti napisal (Sanctuary Device Control )? pise sa tam o white listoch a remote admin sprave tak co viac chces ? okrem tej ceny, ze

[Gappa]

Jezevec: no, v Tučňákovi snad něco nejde?
Puki: sem nějak nestíhal, ale prověřim to

[Fox!MURDER]

jeden firewall kterej umi QoS a je to poreseny ...
zakaze se UDP (tim se eliminuje naprosta vetsina P2P) a ten QoS se nastavi s treba 10MB burstem na 5 minut a pak omezit na 256kbps ...
vpodstate max. 10 radku konfiguraku pf a masina za 3kkc

[Jezevec]

Mno to UDP bych povolil aspon na DNS, psat IP adresy by je asi dlouho nebavilo , ale jinak presne tak, nerikej ze na vstupu do ucebny neni mozny dat nejakej router, staci vpodstate libovolna vyrazena masina.

[sasha]

hm a co proxy? to pak neni vubec zadnej problem s dc
firewall muze byt i softw. - treba by uni mela na checkpoint hehe