USB, Firewire, Thunderbolt Ports für User deaktivieren / sperren

[ovski]

Hallo Zusammen

Hat jemand per Zufall schon mal einen Weg gefunden wie man die lokalen USB u. Firewire bzw. neu halt Thunderbolt Ports sperren kann?
Irgendwie find ich nichts gescheites, habe aber die Anweisung bekommen den Usern keinen Zugriff auf externe Medien wie USB Sticks oder ext. HDs zu gewähren um die Sicherheit der Firmendaten zu gewährleisten.

Hat jemand einen Tip?

Besten Dank und Gruss
Ovski

 

[oneOeight]

dann hast du nicht richtig gesucht
es gibt es anleitungen wie man z.b. USB speichergeräte unterbindet durch entfernen der entsprechenden kext IOUSBMassStorageClass.kext aus dem system...
das gleiche gilt dann analog zu firewire und thunderbolt...

https://ssl.apple.com/support/security/guides/

selbst die NSA hatte tipps für das "hardening"

 

[WeDoTheRest]

Eine .kext funktioniert doch aber systemweit, nicht userabhägig. Oder sehe ich das falsch.
Damit wären die Schnittstellen ja auch für den Admin nicht benutzbar. Ob das gewollt ist?

Gruß, Jörg

 

[oneOeight]

der admin hat normal einen rechner, wo das noch geht.
nur an den rechnern für die user wird das halt gemacht...

 

[walfrieda]

Eine .kext funktioniert doch aber systemweit, nicht userabhägig. Oder sehe ich das falsch.
Damit wären die Schnittstellen ja auch für den Admin nicht benutzbar. Ob das gewollt ist?

Alternativ könnte man für normale User die entsprechenden .kexts durch ein Login-Script mit kextunload "entladen" und durch ein Logout-Script wieder laden. Oder - einfacher - nur für den Admin auf dieselbe Weise beim Einloggen laden und beim Ausloggen "entladen". Wobei der Admin das auch bei Bedarf im Terminal machen kann.
Nachteil ist halt, daß dann auch gewünschtes USB-Zubehör (Tastatur, Maus, Drucker) für den User nicht geht, so daß man dafür andere Lösungen finden muss (wie Bluetooth und IP-Drucken).

 

[Andi]

Hallo ovski,

das geht mit dem Profilemanager.

Medien
Mit dem Payload „Medienzugriff“ können Sie angeben, ob AirPlay erlaubt und welche Typen von Speichermedien zugelassen sein sollen. Sie können den Zugriff generell unterbinden, nur den Lesezugriff gestatten oder den umfassenden Zugriff für Benutzer zulassen, die sich mit einem lokalen Administratorkennwort authentifizieren. Sie können außerdem veranlassen, dass Wechselmedien automatisch ausgeworfen werden, wenn sich der Benutzer abmeldet.

Gruß Andi

 

[sn0wleo]

man kann sich Daten auch per Dropbox etc vom Rechner und auf den Rechner schieben Nur die USB Firewire und ZB Ports sperren reicht nicht ;D

 

[ovski]

Die ktext Lösung habe ich schon gefunden, sehe das aber nicht als optimal. Einerseits weil halt eben wie erwähnt der Admin auch keine Peripherie mehr hat, andererseits habe ich auch vermutet, dass dann gar keine USB Hardware mehr funktioniert. Natürlich sollen Tastatur und Maus weiterhin funktonieren, und sei es z.B. im Notfall wenn das System einen Fehler hat.
Es geht in erster Linie darum, den Zugriff auf Speichermedien zu unterbinden.
So gsehen werde ich wohl die Lösung von Andi genauer anschauen, habe nicht mehr an den Profilemanager gedacht, macht aber absolut Sinn. Danke!

 

[oneOeight]

du entfernst ja nicht alle USB kext, sondern nur die für die MassStorage, halt die speichermedien.
da gehen tastatur und maus noch...

lies doch mal die apple docs dazu durch...

 

[ovski]

Das eine selektive Deaktivierung über ktext möglich ist war mir nicht bewusst, ausgehend vom Kommentar von walfrieda bin ich davon ausgegangen, dass meine Vermutung korrekt war.
Ich werd mich da mal einlesen.

Davon abgesehen, gibt es einen Grund wieso du nicht für die Lösung mit dem Profilemanager bist?

 

[oneOeight]

du kannst natürlich auch gerne den profile manger benutzen.
wollte nur noch mal drauf hinweisen, dass du nicht komplett alles USB funktionalität verlierst.
die apple docs darüber sind ja auch nur für ältere OS X versionen, scheint also eh als würde apple das eh über andere wege machen.