Ранее на нашем форуме поднималась тема ограничения доступа к подключаемым по USB-интерфейсу носителям информации.

Нужна программа, которая бы работала в фоне (сервисом?), отслеживала бы обращение к сменным носителям на USB портах, и вела бы лог записи на носитель, как минимум, а также запрашивала бы некий пароль в случае записи на носитель, как максимум.

Может, кто-то уже написал для себя нечто подобное?

Буду благодарен также за подсказки, может действительно такое проще написать самому, если учесть, что список логических дисков на рабочих станциях - слабо меняющийся параметр.

Приходит на ум что-то вроде : запомнить (жестко ввести) список логических дисков, и при появлении нового логического диска перейти в сторожевой режим, откуда и вести логи.

                

MNT, Вы писали:
> Ранее на нашем форуме поднималась тема ограничения доступа к подключаемым по USB-интерфейсу носителям информации.
>
> Нужна программа, которая бы работала в фоне (сервисом?), отслеживала бы обращение к сменным носителям на USB портах, и вела бы лог записи на носитель, как минимум, а также запрашивала бы некий пароль в случае записи на носитель, как максимум.
>
> Может, кто-то уже написал для себя нечто подобное?
>
> Буду благодарен также за подсказки, может действительно такое проще написать самому, если учесть, что список логических дисков на рабочих станциях - слабо меняющийся параметр.
>
> Приходит на ум что-то вроде : запомнить (жестко ввести) список логических дисков, и при появлении нового логического диска перейти в сторожевой режим, откуда и вести логи.

Есть такая программа! Windows XP называется. У нас на работе такая фича сделана, как именно не знаю.
Могупредложить и юолее радикальный способ - убери USB плату из компа или джамперы с мазерборта.

                

Братец Дыкъ, Вы писали:
> Есть такая программа! Windows XP называется. У нас на работе такая фича сделана, как именно не знаю.
> Могупредложить и юолее радикальный способ - убери USB плату из компа или джамперы с мазерборта.

В ХР это запрещено, скорее всего, системными политиками на уровне домена, или локальными, при этом пользователи, скорее всего, прав администратора на своих машинах не имеют. И вообще, любой сменный USB-носитель вставлять тоже права не имеют. Насчёт логов - не знаю, врядли что-то подобное есть в нужном объёме. То есть, наверное, можно получить алерты типа "вставили диск, вынули диск" - но не более.

Отключить USB можно и без джамперов, просто в BIOS, а сам вход запаролить. Вытащить плату врядли получится - в почти любой материнке АТХ-стандарта они в неё уже впаяны, эти USB-разъёмы.

                

KDS, Вы писали:
> Братец Дыкъ, Вы писали:
> > Есть такая программа! Windows XP называется. У нас на работе такая фича сделана, как именно не знаю.
> > Могупредложить и юолее радикальный способ - убери USB плату из компа или джамперы с мазерборта.
>
> В ХР это запрещено, скорее всего, системными политиками на уровне домена, или локальными, при этом пользователи, скорее всего, прав администратора на своих машинах не имеют. И вообще, любой сменный USB-носитель вставлять тоже права не имеют. Насчёт логов - не знаю, врядли что-то подобное есть в нужном объёме. То есть, наверное, можно получить алерты типа "вставили диск, вынули диск" - но не более.
>
> Отключить USB можно и без джамперов, просто в BIOS, а сам вход запаролить. Вытащить плату врядли получится - в почти любой материнке АТХ-стандарта они в неё уже впаяны, эти USB-разъёмы.

Я, кстати, скачал DeviceLock 5.61, и "лекарство" к ней.

Уже не стоит вопрос - убрать доступ к USB порту, а стоит вопрос - более тонко его регулировать.

Например, у юзера стоит USB мышь или USB принтер. Он вынимает кабель из порта, вставляет туда flash-ку, а система windows 2000 не может распознать устройство! потому что usbstor.sys удален из системы.

В связи с этим вопрос : как сделать так, чтобы usbstor.sys удалился навсегда (или на какое-то длительное время) из системы?

                

MNT, Вы писали:
> В связи с этим вопрос : как сделать так, чтобы usbstor.sys удалился навсегда (или на какое-то длительное время) из системы?

Наверное, можно и не удалять. Мне сейчас не на чем экспериментировать, но, вроде бы, всеми этими "сменными носителями" (не только USB, кстати) заведует системный сервис Removable Storage, по-русски - "Съёмные ЗУ". Вобщем, имея администратоивные права, эту службу можно застопорить и запретить, а имея права обычного пользователя, запустить её обратно довольно сложно. И ничего удалять не надо - оно есть, но заглушено.

                

KDS, Вы писали:

> Наверное, можно и не удалять. Мне сейчас не на чем экспериментировать, но, вроде бы, всеми этими "сменными носителями" (не только USB, кстати) заведует системный сервис Removable Storage, по-русски - "Съёмные ЗУ". Вобщем, имея административные права, эту службу можно застопорить и запретить, а имея права обычного пользователя, запустить её обратно довольно сложно. И ничего удалять не надо - оно есть, но заглушено.

Сегодня на своем компе остановил службу "Съёмные ЗУ", воткнул flash диск - а система как ни в чем не бывало распознала устройство и установила логический диск! И работала с диском как и раньше.

                

MNT, Вы писали:
> Сегодня на своем компе остановил службу "Съёмные ЗУ", воткнул flash диск - а система как ни в чем не бывало распознала устройство и установила логический диск! И работала с диском как и раньше.

Да уж, насоветовал... Купить себе, чтоли, для экспериментов? Но вот поискал на "родном" форуме - и нашёл такую тему: http://portal.sysadmins.ru/board/viewtopic.php?t=13680&highlight=usb+flash

Сложно, конечно, но при этом порты USB продолжат нормальную работу.

А если в целом рассматривать вопрос, то к безопасности нужен комплексный подход. Что не смогут скинуть на флэшку - скинут по почте. Что не смогут скинуть по почте - скинут на ftp-сервер бесплатный. Что не смогут скинуть на ftp-сервер - скинут на флоппи-дискету (если умеючи, то туда может очень много информации уместиться. запакованный ascii-текст). Ну, а если одному-двум закрыть все возможности, скинут по локалке "незакрытому" товарищу, и товарищ поможет. А есть ещё пишущие CD и DVD. Есть те же самые фотоаппататы и аудиоплееры. В конце концов, можно вскрыть корпус, и тривиально вставить туда принесённый из дома жёсткий диск. Можно вытащить, и унести домой свой рабочий жёсткий диск (а наутро вставить, и никто ничего не узнает). Да, можно ещё различные ИК-порты использовать. Они бывают внешние, на USB и COM-портах, их можно установить, а информацию сливать в КПК или мобильник. Есть и накопители на firewire.

Так что, для приемлемого уровня защиты, потребуется комплексное административное решение, с подготовкой документов, инструкций, росписью под обязательством не нарушать от каждого пользователя, опечатывание системных блоков, в идеале, как в "цивилизованных странах", закрытие системников на замок и прикручивание их к рабочим местам тросами.

Чаще всего руководство фирмы, увидя калькуляцию расходов на безопасность, поднимает зарплаты менеджерам, и они успокаиваются. Так всем становится дешевле жить.

                

KDS, Вы писали:
> MNT, Вы писали:
> > Сегодня на своем компе остановил службу "Съёмные ЗУ", воткнул flash диск - а система как ни в чем не бывало распознала устройство и установила логический диск! И работала с диском как и раньше.
>
> Да уж, насоветовал... Купить себе, чтоли, для экспериментов? Но вот поискал на "родном" форуме - и нашёл такую тему: http://portal.sysadmins.ru/board/viewtopic.php?t=13680&highlight=usb+flash
>
> Сложно, конечно, но при этом порты USB продолжат нормальную работу.
>
> А если в целом рассматривать вопрос, то к безопасности нужен комплексный подход. Что не смогут скинуть на флэшку - скинут по почте. Что не смогут скинуть по почте - ...

А есть еще более простой подход: называется Knoppix: Live Linux CD distribution. Приносишь CD, вставляешь его, перезагружаешь комп, и в течении 3-4 минут получаешь на нем полнофункциональный Linux, с рутовским паролем, который отлично читает даже NTFS диски, и всегда рад флешдрайвам. Потом перезагружаешь комп и никаких следов преступления.

Я сегодня притащил его на работу и сотрудников подкалывал: отойдут они покурить, возращаются, елы-палы, вместо их любимой Винды - KDE.

> Так что, для приемлемого уровня защиты, потребуется комплексное административное решение, с подготовкой документов, инструкций, росписью под обязательством не нарушать от каждого пользователя, опечатывание системных блоков, в идеале, как в "цивилизованных странах", закрытие системников на замок и прикручивание их к рабочим местам тросами.

PC не предназначены для этого. Хотите реальной секюрити - ставьте сервер хотя бы Юникс, а лучше мейнфрейм и dumb terminals пользователям.

> Чаще всего руководство фирмы, увидя калькуляцию расходов на безопасность, поднимает зарплаты менеджерам, и они успокаиваются. Так всем становится дешевле жить.

По-мойму идеальный выход из ситуации.

                

Братец Дыкъ, Вы писали:
> А есть еще более простой подход: называется Knoppix: Live Linux CD distribution. Приносишь CD, вставляешь его, перезагружаешь комп, и в течении 3-4 минут получаешь на нем полнофункциональный Linux, с рутовским паролем, который отлично читает даже NTFS диски, и всегда рад флешдрайвам. Потом перезагружаешь комп и никаких следов преступления.

Таких программ навалом. Есть для стойких поклонников МИкрософта ERD Commander - тоже грузится с CD и делает всё, что угодно с несчастным Windows. Есть подобные программы и на дискетку - просто снос либо замена административного пароля, больше ничего. А ничего больше и не надо. (Что, у Вас в BIOS запрещена загрузка с дискет и CD, а сам BIOS запаролён? Не беда: на современных мат.платах есть специальный джампер или даже переключатель с надписью clear CMOS, а на менее продвинутых можно вынуть батарейку.).

Кстати, вот ещё один способ кражи защищённой информации (не поможет ни Линукс, ни мэйнфрэйм). Можно всё секретное распечатать на бумаге, а потом в другом месте отсканировать эту бумагу, и распознать. Выглядит глупо, но у юристов это очень популярно. Единственный выход из ситуации - запрет выноса из офиса бумаги (и любых другихносителей информации заодно, включая плееры и фотоаппараты). На советских "почтовых ящиках" именно такой порядок и существовал когда-то...

Вобщем, все эти опусы надо показать начальнику-заказчику, и, как минимум, он отстанет с этой несчастной блокировкой USB...

Да, может быть и такое возражение: "наши пользователи, простые менеджеры по купле-продаже обезжиренных яблок, ничего этого не умеют, с дискеты не загрузятся и по шурупу отвёрткой не попадут - блокировки USB будет достаточно". На него нужно иметь контрвозражение: всегда найдётся какой-нибудь один, кто и по отвёртке попадёт, и батарейку с HDD вынет, и в форточку на верёвочке товарищу высунет. А не найдётся в своём коллективе - есть племянники и знакомые троюродной сестры, хакеры 14 лет от роду, которые либо сами придут и помогут, либо напишут подробную инструкцию, что надо сделать.

Вот лично я в некоторых ситуациях, когда руководство организаций особо цинично давило простых людей высокими технологиями, всегда знакомым и родственникам помогал. Просто для равновесия сил в природе.

                

KDS, Вы писали:
>
На советских "почтовых ящиках" именно такой порядок и существовал когда-то...

Гм. На советском "А/Я" в котором я работал когда-то,
была мене строгая систетма безопасности, чем на на том АО, где работаю сейчас.
Системники запломбированы, выносить ничего нельзя. Охрана с металлодетектороми, и стойким интересом к содержимому карманов.

Ежедневный юмор. По моей работе я имею право проносить СD, а вот про дискетку 3,5 в инструкции явно упомянуть забыли.
Мне очевидно, что все это попытка удержать решетом воду, но я не
сисадмин, вообще не админ, вряд ли ими буду
Ну, это так, лирика.


Я вот хотел спросить. ( застарелое любопытство)
В *.jpg содержатся метаданные .(сведения об условиях съемки и пр)
Кто знает как их можно редактировать (заменять поизвольным тестом).

                

Павлов Александр, Вы писали:
> KDS, Вы писали:
>
> Ежедневный юмор. По моей работе я имею право проносить СD, а вот про дискетку 3,5 в инструкции явно упомянуть забыли.

У меня была та же сутуация с дискетой 5.25 - тоже ни на что не похожа...

>
>
> Я вот хотел спросить. ( застарелое любопытство)
> В *.jpg содержатся метаданные .(сведения об условиях съемки и пр)
> Кто знает как их можно редактировать (заменять поизвольным тестом).

Есть программы-упаковщики, которые эти даные удаляют, чтобы файл меньше получился. А редакторов что-то не встречал. Да они там, наверное, открытым текстом вписаны, может, hex-editorom посмотреть?


А по сути проблемы с USB-дисками, есть ещё проще вариант запретить их появление. В нескольких местах операционки имеются ограничения на количество дисков. Допустим, в Windows9x можно в autoexec.bat указать диапазон дисков, допустим A-Z. А можно A-D. И диск E уже не появится - нельзя ему появляться.

Ключей реестра на эту тему я не помню, но ограничения на буквы дисков есть во многих твикерах, типа configNT, FreshUI и им подобных. Под админом запретить - под юзером не разрешит разрешать.

И здесь же -как это обойти. Вскрыть системник, отключить питание CD, загрузиться, ставить флэшку - и она займёт имя отключенного на время CD-ROM. Так что на ключ их, на ключ закрывать надо!

                

KDS, Вы писали:

> И здесь же -как это обойти. Вскрыть системник, отключить питание CD, загрузиться, ставить флэшку - и она займёт имя отключенного на время CD-ROM. Так что на ключ их, на ключ закрывать надо!

Учитывая сообщение Константина насчет "дружелюбной" к флэшдрайвам Linux, ставить CD-ROM на компьютеры - тоже небезопасно.

А если по работе он нужен... в крайнем случае можно пользоваться виртуальным CD-ROM, коих сейчас развелось множество (alcohol 120%, "daemon tools" etc).

Ясно, что если все строгости вводятся задним числом, выглядеть это будет как паранойя. Но если с самого начала информационная система будет создаваться по таким правилам - восприниматься она будет как должное.

                

> Учитывая сообщение Константина насчет "дружелюбной" к флэшдрайвам Linux, ставить CD-ROM на компьютеры - тоже небезопасно.

А если учитывать, что есть внешние CD-ROM c подключением по usb...
Короче, задача решается только терминальным сервером в сейфе у админа

                

MNT, Вы писали:
> Учитывая сообщение Константина насчет "дружелюбной" к флэшдрайвам Linux, ставить CD-ROM на компьютеры - тоже небезопасно.
>

Не ставить CD на компьютер - это уже решение задачи не того, как запретить что-то уносить, а того, как запретить что-то приносить... И неизвестно, что может оказаться хуже для нормальной работы организации.

                

KDS, Вы писали:
> . Да они там, наверное, открытым текстом вписаны,

Именно. Вопрос - в какой кодовой таблице.
Любое измение в любом разделе документа - немедлено ломает файл.

Переименовал *.jpg в *.txt. Нашел строку, все почти человеческим, английским языком написано. Удалил любой знак, отменил удаление. Вернул *.jpg
Все - неизвестный формат.

Значит на самом деле сохранен знак из другого набора.(IMHO)
А из какого?

Про замки.
Замки отковыриваются, пломбы подделываются. Или просто зыбывается на замок закрыть. Это понятно.
По идее, пользователь долен быть крайне не заинтересован в совершении опасных для системы действий.
Причем "метод кнута и пряника, но без пряника" - только кажется выходом. Проблема сторожей над сторожами.

В общем, я не полезу ковырять, если это чревато последствиями для моих друзей - администраторов.
Зачем мне их подставлять?
Лучше пивка с ними попить, и вместе решить задачку

                

Павлов Александр, Вы писали:
> Переименовал *.jpg в *.txt. Нашел строку, все почти человеческим, английским языком написано. Удалил любой знак, отменил удаление. Вернул *.jpg
> Все - неизвестный формат.
>
> Значит на самом деле сохранен знак из другого набора.(IMHO)
> А из какого?

Может, просто контрольная сумма не совпала? Нужен редактор, который её найдёт и выправит. В понедельник постараюсь поискать.

                

KDS, Вы писали:
> Павлов Александр, Вы писали:
> > Переименовал *.jpg в *.txt. Нашел строку, все почти человеческим, английским языком написано. Удалил любой знак, отменил удаление. Вернул *.jpg
> > Все - неизвестный формат.
> >
> > Значит на самом деле сохранен знак из другого набора.(IMHO)
> > А из какого?
>
> Может, просто контрольная сумма не совпала? Нужен редактор, который её найдёт и выправит. В понедельник постараюсь поискать.


Нет, ничего не нашёл. Графических редакторов - навалом, упаковщики есть, а вот того, что требуется - нету. Тут есть 2 варианта: если надо паковать картинки - то упаковщиком. Если прятать некую закрытую информацию, то есть уже довольно много программ, которые прячут её и в картинки любых формтов, и даже в музыку - клиент, получающий картинку со встроенным текстом, должен будет только пароль знать.

                

Не знал, что существует такое простое решение для windows 2000. Спасибо, воспользуюсь.