Gesucht: Software, um Datentransfer über USB und SD-Slot zu unterbinden.

[Nicolas1965]

Liebe Gemeinde,

um zu verhindern, dass sich Mitarbeiter Daten vom Geschäftsrechner ziehen, würde ich gerne USB-Ports und SD-Slot "verrammeln". Idealerweise kann die nur vom Admin-Account deaktiviert werden. Kennt jemand eine Software für den Mac, mit der das geht?

Grüße

Nic

 

[Roman78]

Wir haben Lumension Device Control. Ist jetzt von Ivanti und auch für Mac geeignet.

https://www.ivanti.com/products/endpoint-manager

/edit: Warte.. das hier ist der Device Control: https://www.ivanti.com/products/device-control

Die haben einfach zufiel Software. Aber die scheint nicht für Mac zu sein.

 

[geronimoTwo]

Aus meinen Lesezeichen, ungetestet:

http://www.endpointprotector.de/solutions/usb_lockdown_for_mac

 

[Nicolas1965]

Aus meinen Lesezeichen, ungetestet:

http://www.endpointprotector.de/solutions/usb_lockdown_for_mac

Da habe ich gerade angerufen. Sehr freundlich; Demo vereinbart für eine Serverlösung, die auch Content-basiert Ausgang verhindert, also z.B. PDFs mit bestimmten Buzz-Words oder nach anderen Faktoren sortiert. Die "Nur lokal USB Absperren"-Variante liegt bei 16,50 je Rechner, scheint mir übersichtlich.

 

[Schiffversenker]

In der aktuellen (?) c't haben sie einen Kurzbericht über Hardwarelösungen für USB-Port-Sperren. Sprich Pseudosticks, die den Port blockieren und sich auch nicht durch Abbrechen austricksen lassen.
Wäre, wenn komplettes Blockieren ausreicht, vielleicht auch eine Möglichkeit.

 

[Nicolas1965]

Kuck ich mir mal an.
Danke.

 

[walfreiheit]

Hat der Rechner denn Internet? Dann würde ich, führte ich solches im Schilde, als Mitarbeiter die Daten einfach per E-Mail versenden …

 

[MacMaitre]

Kommt natürlich immer auf die Art der Daten und dem Volumen an. Bei manchen Daten kann schon ein Photo mit dem Handy vom Bildschirminhalt ausreichend sein... Bei uns in der Firma sind aber auch alle USB Ports der Laptops (HPs) für "schreiben" gesperrt, lesen geht.

 

[wellen]

Holzhammermethode: folgende KEXTs mit einem Admin-Account deaktivieren/verschieben/umbenennen:

com.apple.driver.AppleUSBCardReader
com.apple.iokit.IOUSBMassStorageDriver

Dafür muss SIP deaktiviert sein und der Mac neu gestartet werden.

 

[Nicolas1965]

Hat der Rechner denn Internet? Dann würde ich, führte ich solches im Schilde, als Mitarbeiter die Daten einfach per E-Mail versenden …

Deshalb auch die erweiterte serverbasiertes Lösung; da sollen Dateien/ Dokumente nach definierten Kriterien erkannt und blockiert werden, sowohl bei Mail als auch beim Verschieben in die Cloud.

 

[Nicolas1965]

Holzhammermethode: folgende KEXTs mit einem Admin-Account deaktivieren/verschieben/umbenennen:

com.apple.driver.AppleUSBCardReader
com.apple.iokit.IOUSBMassStorageDriver

Dafür muss SIP deaktiviert sein und der Mac neu gestartet werden.

Also quasi die Blockade mit Bordmitteln und etwas aufwendiger in der Bedienung.

 

[Aldo01]

Ich habe mal in einer Kölner Automobilfirma gearbeitet, da waren die USB-Ports mit Heißkleber "deaktiviert" um Schreib- und Lesezugriffe zu unterbinden.
Kann man auch machen... ;-)

 

[wellen]

Also quasi die Blockade mit Bordmitteln und etwas aufwendiger in der Bedienung.

Naja, aufwendig. Man kann sich das ganze ja in ein Script packen und dieses beim Anmelden ausführen. z.B.:

#!/bin/sh
sudo kextunload -b com.apple.driver.AppleUSBCardReader
sudo kextunload -b com.apple.iokit.IOUSBMassStorageDriver
exit 0

 

[Olivetti]

und das adminpasswort gibt dann jeder selbst ein?

 

[Aldo01]

Man kann das script auch in der /etc/sudoers freigeben, dann startet das auch ohne Passworteingabe.
Das reißt allerdings ein nicht gerade kleines Sicherheitsloch auf.

 

[thorstenhirsch]

Deshalb auch die erweiterte serverbasiertes Lösung; da sollen Dateien/ Dokumente nach definierten Kriterien erkannt und blockiert werden, sowohl bei Mail als auch beim Verschieben in die Cloud.

Viel Spaß mit sinnloser Arbeit in Zukunft! Diese Algorithmen sind dumm wie Brot und führen zu folgenden Mails...

Hallo Herbert, unser Internet-Filter erlaubt ja nur noch wenigen Mitarbeitern das Versenden von Dateien nach draußen - mir nicht. Also bitte versende mal angehängte Kundenpräsentation.pptx an die 20 Kunden, die ich letzte Woche besucht habe.

Hallo Dieter, der Filter denkt die pptx wäre ein zip ohne Passwort und lässt sie mich nicht versenden. Du musst sie zuerst in ein zip mit Passwort stecken, damit das klappt.

Hallo Herbert, hier die Präsentation als zip. Das Passwort hab' ich den Kunden jetzt vorab geschickt. Einige haben mich angerufen und gefragt, ob ich wüsste, dass E-Mails nicht verschlüsselt sind und jeder das Passwort lesen kann. Ich hab' denen dann erklärt, dass das Passwort eigentlich nicht geheim ist und ich nur den Filter hier in der Firma umgehen muss. Dann wurde ich ausgelacht.

Hallo Schatz, anbei der geheime G-e-s-c-h-ä-f-t-s-b-e-r-i-c-h-t meiner Firma. Der Mailfilter hier erkennt dieses Wort, daher hab' ich es überall umbenannt. Das ist mein Joker für die Bewerbungen nächste Woche. Bewerbungen? Ja, unsere Firma ist bald pleite, weil hier keiner mehr arbeiten kann, seit unser Chef die Grandiose Idee mit dem Mailfilter hatte.

 

[walfreiheit]

Ein Klima des Misstrauens gegenüber den Mitarbeitern – genau wie bei uns.
Für jeden **** darfst du zu jemandem rennen, der eine virtuelle Berechtigung hat. Aber abseits vom Computer hast du eine Verantwortung am Gürtel, da will niemand tauschen.

 

[Olivetti]

Das reißt allerdings ein nicht gerade kleines Sicherheitsloch auf.

Eben. Hier wurde ja gefragt, wie man Geräte sperrt, nicht noch mehr Unsinn einbaut -> nur #9 ist sinnvoll.

 

[oneOeight]

Naja, aufwendig. Man kann sich das ganze ja in ein Script packen und dieses beim Anmelden ausführen. z.B.:

#!/bin/sh
sudo kextunload -b com.apple.driver.AppleUSBCardReader
sudo kextunload -b com.apple.iokit.IOUSBMassStorageDriver
exit 0

sudo im script ist nicht so schön, da müsste man den befehl für den user ohne passwort ausführen lassen.

 

[Nicolas1965]

Viel Spaß mit sinnloser Arbeit in Zukunft! Diese Algorithmen sind dumm wie Brot und führen zu folgenden Mails...

Ein Klima des Misstrauens gegenüber den Mitarbeitern – genau wie bei uns.
Für jeden **** darfst du zu jemandem rennen, der eine virtuelle Berechtigung hat. Aber abseits vom Computer hast du eine Verantwortung am Gürtel, da will niemand tauschen.

Das ist eine - und je nach Blickwinkel durchaus berechtigte - Sicht auf die Dinge.

Wer in seinem Tun nicht unmittelbar von § 203 StGB bedroht ist, der kann das auch gerne so halten. Sollten Daten von unseren Rechnern in unerlaubter Weise nach draußen gelangen, kann ich absperren.
In einer Firma, für die ich früher mal gearbeitet habe, gelangten Geschäftsunterlagen an die Presse - vor der eigentlichen Bekanntgabe der Inhalte. Daraufhin wurden die USB-Schnittstellen gegen Datenträger abgesichert. In mancher Situation umständlich, für mich aber absolut nachvollziehbar. Es geht nicht um Misstrauen, es geht in diesem Fall um Schutz und um meine Existenz.
Es reicht ein "fauler Apfel" unter einhundert guten Äpfeln um den ganzen Korb zu verderben. Und da warte ich nicht, bis nix passiert.

Weitere Diskussionen um das Thema "Generalverdacht" bitte ich in der Bar zu führen!