Tach zusammen,

ich würde gerne einen realen oder virtuellen PC als USB-Checker aufsetzen. Die einzige Aufgabe soll die Sicherheitsprüfung von USB-Sticks sein.

Wie würdet ihr sowas angehen?

-welches Betriebssystem
-welchen Scanner für Bedrohungen?

Hintergrund ist, daß fremde Sticks grundsätzlich im Vorfeld gecheckt werden sollen, bevor sie gelesen oder auch beschrieben werden. Also Stick rein, automatische Prüfung, Meldung.


Ich danke für eure Ideen!

besten gruß, dell

Und auf was genau soll der Stick geprüft werden?
Was soll durch die Prüfung verhindert werden?

1. Scan auf Schädlinge, Trojaner, Viren, infizierte Office-, PDF Dokumente, EXE Files, Keylogger, etc.

2. Verhindern einer Infektion der Unternehmensrechner, Ausspähen, Logging

Zitat:

Zitat von dell

1. Scan auf Schädlinge, Trojaner, Viren, infizierte Office-, PDF Dokumente, EXE Files, Keylogger, etc.

Und warum dieser Extraaufwand, das alles an einem zusätzlichen System zu machen?
Virtueller PC? Dir ist schon klar, dass man den Stick erstmal in den echten USB-Port stecken muss und damit vom echten OS (dem Wirt) erkannt werden muss, damit der virtuelle PC (der Gast) da überhaupt was machen kann?

Zitat:

Zitat von dell

2. Verhindern einer Infektion der Unternehmensrechner, Ausspähen, Logging

Und wie willst du verhindern, dass Mitarbeiter doch einfach nen Stick mitbringen und den direkt bei sich erstmal an den Rechner stecken? Einen Pförtner einstellen, der bei Arbeitsbeginn jeden Mitarbeiter erstmal nach Datenträgern filzt?

Irgendwie scheint das eine nicht zu Ende gedachte Schnapsidee zu sein. Zumal Jeder Windows Client-PC eh schon einen Virenscanner (Windows Defender) hat, der jede Datei vor dem eigentlichen Öffnen scannt.

Unabhängig davon was für ein Virenscanner, irgendwie hab ich auch den Eindruck, du glaubst die Sache sei 100%ig geritzt und sicher wenn irgendein Scanner nichts findet. Da das natürlich Quatsch ist, kommst also ohnehin nicht ohne weitere Maßnahmen aus wie zB vernünftiges Berechtigungs- und Backupkonzept sowie Patchmanagment aus.

Ich verstehe deine Zweifel. Mal sehen was ich ausräumen kann:

- Das Unternehmen hat eine Versicherung gegen Schäden durch Cyberattacken, Ransomware, etc. Diese versicherung setzt hohe Hürden.
- Ich halte es für praktikabel und sicher, Sticks im Vorfeld isoliert zu prüfen
- Virtueller PC: Du hast recht, das überdenke ich noch
- Dass Mitarbeiter einfach was einstöpseln kann ich nicht verhindern. Aber jeder hat unterschrieben, daß er das eben nicht tut. So ist er im Schadensfall haftbar, falls ihm nachgewiesen wird, dass sein Handeln die Ursache war.
- natürlich ist diese Idee nur ein Baustein von vielen, so wie du es schon schreibst, Berechtigungen, Patches, Backup.
- es gibt keine 100%-ige Sicherheit. Am "gefährlichsten" ist der Mensch, ob absichtlich oder unabsichtlich.

Ob die Idee zu Ende gedacht ist - das muss sie ja gar nicht. Es ist ja noch nicht in Stein gemeißelt.

Aber kein Ding, falls du mir nicht weiterhelfen kannst oder möchtest - kein Problem. Ich habe mir halt so ein paar grundsätzliche Ideen, Richtungen erhofft.

Ich versteh es einfach nur nicht. Jeder Windows-PC hat einen Virenscanner. Sobald du einen Stick ansteckst und versuchst eine Datei zu öffnen, wird die erst durch den OnAccess-Scanner gejagt. Damit ist genau das getan, was du durch zusätzlichen umständlichen Aufwand mit dem Extra-PC versuchst.

Was macht denn der isolierte PC da besser?

Es soll einfach eine Sicherheitsstufe mehr sein, bevor ein Schädling ins Netz gelangen könnte.

Wenn du wirklich eine Sicherheitsstufe mehr haben willst, dann nicht durch einen Virenscanner, der auf einem anderen Rechner läuft.

Deaktiviere die Automatische Wiedergabe, dann werden USB-Würmer nicht sofort gestartet nur weil der Stick angesteckt wurde.

Deaktiviere global die Makros. Falls ihr Microsoft Office habt sollte das sogar per GPO gehen. Und bestimmt gibt es da eine Möglichkeit, die Ausführung von Programmen auf USB-Sticks zu unterbinden - damit niemand eine dümmliche *.exe vom Stick ausführen kann. Dann müsste da jemand schon extrem dämlich sein und ein in eine ZIP gepackten Schädling nach %tmp% oder auf den Desktop entpacken und da starten

Das geht dann in Richting Software Restriction Policies. Kann aber ein Riesenaufwand werden.

Zitat:

Aber kein Ding, falls du mir nicht weiterhelfen kannst oder möchtest - kein Problem. Ich habe mir halt so ein paar grundsätzliche Ideen, Richtungen erhofft.

Die hast du ja nun bekommen. Aber irgendwie hast du ja schon vor dem Thread beschlossen, so einen extra PC aufzustellen...

Die Office Makros sind schon deaktiviert.

Danke für die anderen Tipps!

Angriffsvektor E-Mail habt ihr schon im Griff?
IMHO muss man mittlerweile alle Mails mit Archiven oder Office-Dokumenten mit altem Format (DOC/XLS) sperren und nur bei Bedarf freischalten.

Bei uns kommt nur noch was durch wenn da PDF und/oder ein Bild, reiner Text oder garkein Anhang drin ist. Sobald ein verbotener Dateityp im Anhang, zack, gesperrt.

Oder einfach auf USB-Sticks (Verlustquelle) verzichten und die Laufwerke sperren

Oh sorry, war ein paar Tage nicht hier.

Cosinus, ja, haben wir im Griff. Genau so wie beschrieben.

Ich habe mal das C't Disinfect in eine VM gepackt. Stick einer Kollegin gescannt - hat sogar noch ein PUP im Chrome Installer gefunden (vllt. von CHIP geladen?).

Mal sehen. Bin noch nicht durch mit dem Thema.

Also ich halte dein Vorhaben für ganz schön aufwändig und unpraktikabel. Und dann kannst du nichtmal sicher sein, dass da kein Schädling drin ist im Gescanten Stick wenn nicht gefunden wurde. Habt ihr denn echt sonst nichts zu tun?

Da ist die Zeit, die man mit dem Scannen verplempert, besser investiert im Lesen von IT-News auf golem oder heise...

Freitag fiel die Entscheidung, der Chef vertraut unserem IT Dienstleister. Es wird einen PC mit Windows 10 geben, vom Netz getrennt. Darauf läuft Panda Cloud Antivirus.

Ich schüttele nur noch mit dem Kopf...

Eine Cloud-AV-Lösung auf einem Offline-PC, wirklich sehr clever